Az Azure Front Door használata Azure Storage-blobokkal

  • Cikk

Az Azure Front Door felgyorsítja a statikus tartalmak Azure Storage-blobokból való továbbítását, és biztonságos és méretezhető architektúrát tesz lehetővé. A statikus tartalomkézbesítés számos különböző használati esetben hasznos, beleértve a webhely üzemeltetését és a fájlkézbesítést.

Felépítés

Diagram of Azure Front Door with a blob storage origin.

Ebben a referenciaarchitektúrában egyetlen forrással rendelkező tárfiókot és Front Door-profilt helyez üzembe.

Adatfolyam

Az adatok az alábbiak szerint haladnak végig a forgatókönyvön:

  1. Az ügyfél egy egyéni tartománynévvel és a Front Door által biztosított TLS-tanúsítvánnyal létesít biztonságos kapcsolatot az Azure Front Doorhoz. Az ügyfél kapcsolata egy közeli Front Door jelenléti ponton (PoP) megszűnik.
  2. A Front Door webalkalmazás tűzfala (WAF) megvizsgálja a kérést. Ha a WAF megállapítja, hogy a kérelem kockázati szintje túl magas, akkor blokkolja a kérést, és a Front Door HTTP 403 hibaválaszt ad vissza.
  3. Ha a Front Door PoP gyorsítótára érvényes választ tartalmaz erre a kérésre, a Front Door azonnal visszaadja a választ.
  4. Ellenkező esetben a PoP a Microsoft gerinchálózatának használatával elküldi a kérést a forrástárfióknak, bárhol is legyen a világon. A PoP egy külön, hosszú élettartamú TCP-kapcsolattal csatlakozik a tárfiókhoz. Ebben az esetben a Private Link használatával biztonságosan csatlakozhat a tárfiókhoz.
  5. A tárfiók választ küld a Front Door PoP-nak.
  6. Amikor a poP megkapja a választ, azt a gyorsítótárában tárolja a későbbi kérésekhez.
  7. A poP visszaadja a választ az ügyfélnek.
  8. Az Azure Storage tűzfal blokkolja a közvetlenül a tárfiókra irányuló, interneten keresztül érkező kéréseket.

Összetevők

  • Az Azure Storage statikus tartalmat tárol blobokban.
  • Az Azure Front Door bejövő kapcsolatokat fogad az ügyfelektől, átvizsgálja őket a WAF-ben, biztonságosan továbbítja a kérést a tárfióknak, és gyorsítótárazza a válaszokat.

Alternatívák

Ha egy másik felhőtárhely-szolgáltató statikus fájljaival rendelkezik, vagy ha a tulajdonában és karbantartásában lévő infrastruktúrán statikus tartalmat tárol, a forgatókönyv nagy része továbbra is érvényben marad. Azonban figyelembe kell vennie, hogyan védi a bejövő forgalmat a forráskiszolgáló felé, hogy ellenőrizze, hogy az a Front Dooron keresztül érkezik-e. Ha a társzolgáltató nem támogatja a Private Link szolgáltatást, fontolja meg egy alternatív megközelítés használatát, például a Front Door szolgáltatáscímkének engedélyezését és a X-Azure-FDID fejléc vizsgálatát.

Forgatókönyv részletei

A statikus tartalomkézbesítés számos esetben hasznos, például az alábbi példákban:

  • Képek, CSS-fájlok és JavaScript-fájlok kézbesítése webalkalmazásokhoz.
  • Fájlok és dokumentumok, például PDF-fájlok vagy JSON-fájlok kiszolgálása.
  • Nem streamelt videó továbbítása.

A statikus tartalom természeténél fogva nem változik gyakran. A statikus fájlok mérete is nagy lehet. Ezek a jellemzők jó választássá teszik a gyorsítótárazáshoz, ami javítja a teljesítményt, és csökkenti a kérések kiszolgálásának költségeit.

Összetett forgatókönyv esetén egyetlen Front Door-profil statikus tartalmakat és dinamikus tartalmakat szolgálhat ki. Az egyes forrástípusokhoz külön forráscsoportokat használhat, a Front Door útválasztási képességeivel pedig a bejövő kéréseket a megfelelő forráshoz irányíthatja.

Considerations

Méretezhetőség és teljesítmény

A Front Door tartalomkézbesítési hálózatként (CDN) gyorsítótárazza a tartalmat a poP-k globálisan elosztott hálózatán. Ha egy válasz gyorsítótárazott másolata elérhető egy PoP-ben, a Front Door gyorsan válaszolhat a gyorsítótárazott válaszsal. A gyorsítótárból visszaküldött tartalom javítja a megoldás teljesítményét, és csökkenti a forrás terhelését. Ha a PoP nem rendelkezik érvényes gyorsítótárazott válaszsal, a Front Door forgalomgyorsító képességei csökkentik a forrásból származó tartalom kiszolgálásának idejét.

Biztonság

Hitelesítés

A Front Door úgy van kialakítva, hogy internetkapcsolattal rendelkező legyen, és ez a forgatókönyv a nyilvánosan elérhető blobokhoz van optimalizálva. Ha hitelesítenie kell a blobokhoz való hozzáférést, fontolja meg a közös hozzáférésű jogosultságkódok használatát, és győződjön meg arról, hogy engedélyezi a Lekérdezési sztring lekérdezési sztringjének használatát, hogy elkerülje a Front Door számára a kérelmek hitelesítés nélküli ügyfeleknek való kiszolgálását. Ez a megközelítés azonban nem feltétlenül használja hatékonyan a Front Door-gyorsítótárat, mivel minden más közös hozzáférésű jogosultságkóddal rendelkező kérést külön kell elküldeni a forrásnak.

Forrásbiztonság

A Front Door biztonságosan csatlakozik az Azure Storage-fiókhoz a Private Link használatával. A tárfiók úgy van konfigurálva, hogy megtagadja a közvetlen hozzáférést az internetről, és hogy csak a Front Door által használt privát végpontkapcsolaton keresztül engedélyezze a kéréseket. Ez a konfiguráció biztosítja, hogy a Front Door minden kérést feldolgoz, és ne tárja fel a tárfiók tartalmát közvetlenül az internetre. Ehhez a konfigurációhoz azonban az Azure Front Door prémium szintű szintje szükséges. Ha a standard szintet használja, a tárfióknak nyilvánosan hozzáférhetőnek kell lennie. Használhat közös hozzáférésű jogosultságkódot a tárfiókhoz érkező kérések védelméhez, és vagy rendelkezhet az ügyfél minden kéréséhez tartozó aláírással, vagy a Front Door szabálymotor használatával csatolhatja azt a Front Doorból.

Custom domain names

A Front Door támogatja az egyéni tartományneveket, és ezekhez a tartományokhoz TLS-tanúsítványokat állíthat ki és kezelhet. Egyéni tartományok használatával gondoskodhat arról, hogy az ügyfelek megbízható és ismerős tartománynévből fogadják a fájlokat, és hogy a TLS minden kapcsolatot titkosítson a Front Doorhoz. Ha a Front Door kezeli a TLS-tanúsítványokat, elkerülheti az érvénytelen vagy elavult TLS-tanúsítványok miatti kimaradásokat és biztonsági problémákat.

Az Azure Storage az egyéni tartományneveket is támogatja, de egyéni tartomány használatakor nem támogatja a HTTPS-t. A Front Door a legjobb módszer az egyéni tartománynév tárfiókkal való használatára.

Webalkalmazási tűzfal

A Front Door WAF felügyelt szabálya beszkenneli a gyakori és újonnan megjelenő biztonsági fenyegetésekre vonatkozó kéréseket. Javasoljuk, hogy a WAF és a felügyelt szabályokat statikus és dinamikus alkalmazásokhoz is használja.

A Front Door WAF használatával sebességkorlátozást és geoszűrést is végezhet, ha szüksége van ezekre a képességekre.

Resiliency

A Front Door egy magas rendelkezésre állású szolgáltatás, és globálisan elosztott architektúrája miatt ellenálló az önálló Azure-régiók és poP-k hibáival szemben.

A Front Door cache használatával csökkentheti a tárfiók terhelését. Ha a tárfiók nem érhető el, előfordulhat, hogy a Front Door továbbra is képes lesz a gyorsítótárazott válaszok kiszolgálására, amíg az alkalmazás helyre nem áll.

A tárfiók rugalmasságának figyelembevételével tovább javíthatja a teljes megoldás rugalmasságát. További információ: Azure Storage-redundancia. Másik lehetőségként több tárfiókot is üzembe helyezhet, és több forrást is konfigurálhat a Front Door-forráscsoportban, és az egyes források prioritásának konfigurálásával konfigurálhatja a források közötti feladatátvételt. További információ: Origins and origin groups in Azure Front Door.

Költségoptimalizálás

A gyorsítótárazás segíthet csökkenteni a statikus tartalom kézbesítésének költségeit. A Front Door poP-jai a válaszok másolatait tárolják, és ezeket a gyorsítótárazott válaszokat minden további kéréshez el tudják küldeni. A gyorsítótárazás csökkenti a kérelem terhelését a forráson. A nagy léptékű statikus tartalomalapú megoldásokban, különösen a nagy fájlokat tartalmazó megoldásokban a gyorsítótárazás jelentősen csökkentheti a forgalmi költségeket.

A Private Link ebben a megoldásban való használatához telepítenie kell a Front Door prémium szintű szintjét. A standard szintet akkor használhatja, ha nem kell blokkolnia a tárfiókba közvetlenül bemenő forgalmat. További információ: Origin security.

A forgatókönyv üzembe helyezése

Ha bicep- vagy JSON ARM-sablonokkal szeretné üzembe helyezni ezt a forgatókönyvet, tekintse meg ezt a rövid útmutatót.

Ha ezt a forgatókönyvet a Terraform használatával szeretné üzembe helyezni, tekintse meg ezt a rövid útmutatót.

További lépések

Ismerje meg, hogyan hozhat létre Front Door-profilt.