Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Front Door javítja a statikus tartalmak Azure Storage-blobokból való továbbítását, biztonságos és méretezhető architektúrát biztosítva. Ez a beállítás ideális különböző használati esetekhez, például a webhely üzemeltetéséhez és a fájlkézbesítéshez.
Architektúra
Ebben a referenciaarchitektúrában egy tárfiók és egy egyetlen eredetű Azure Front Door-profil lesz üzembe helyezve.
Adatfolyam
Az adatok az alábbiak szerint haladnak végig a forgatókönyvön:
- Az ügyfél egy egyéni tartománynévvel és egy Front Door által biztosított TLS-tanúsítvánnyal létesít biztonságos kapcsolatot az Azure Front Doorhoz. A kapcsolat egy közeli Front Door jelenléti ponton (PoP) megszakad.
- Az Azure Front Door webalkalmazási tűzfala (WAF) megvizsgálja a kérést. Ha a WAF úgy ítéli meg, hogy a kérés túl kockázatos, letiltja a kérést, és HTTP 403 hibaválaszt ad vissza.
- Ha a Front Door PoP gyorsítótára érvényes választ tartalmaz, a Front Door azonnal visszaadja a választ.
- Ha nem, a PoP a Microsoft gerinchálózatával, egy külön, hosszú élettartamú TCP-kapcsolatot használva küldi el a kérést az eredeti tárfiókhoz. Ebben az esetben a Private Link biztonságosan csatlakozik a tárfiókhoz.
- A tárfiók választ küld a Front Door PoP-nak.
- A PoP a jövőbeni kérésekhez tárolja a választ a gyorsítótárában.
- A poP visszaadja a választ az ügyfélnek.
- A tárfiókra irányuló, interneten keresztül érkező közvetlen kéréseket az Azure Storage tűzfal blokkolja.
Összetevők
- Azure Storage: Statikus tartalmat tárol blobokban.
- Azure Front Door: Bejövő kapcsolatokat fogad az ügyfelektől, átvizsgálja őket a WAF-ben, biztonságosan továbbítja a kéréseket a tárfióknak, és gyorsítótárazza a válaszokat.
Alternatívák
Ha statikus fájlokat tárol egy másik felhőtárhely-szolgáltatónál vagy a saját infrastruktúrájában, ez a forgatókönyv továbbra is nagyrészt érvényes. Azonban gondoskodnia kell arról, hogy a származási kiszolgálóra irányuló bejövő forgalom a Front Dooron keresztül érkezzen, és ellenőrizve legyen. Ha a társzolgáltató nem támogatja a Private Link szolgáltatást, fontolja meg egy alternatív megközelítés használatát, például a Front Door szolgáltatáscímkének engedélyezését és a X-Azure-FDID fejléc vizsgálatát.
Forgatókönyv részletei
A statikus tartalomkézbesítés számos esetben előnyös, például:
- Képek, CSS-fájlok és JavaScript-fájlok kézbesítése webalkalmazásokhoz.
- Fájlok és dokumentumok, például PDF- vagy JSON-fájlok kiszolgálása.
- Stream nélküli videó továbbítása.
A statikus tartalom általában nem változik gyakran, és nagy méretű is lehet, így ideális gyorsítótárazáshoz a teljesítmény javítása és a költségek csökkentése érdekében.
Összetett helyzetekben egyetlen Front Door-profil képes statikus és dinamikus tartalmakat is kiszolgálni. Az egyes tartalomtípusokhoz külön forráscsoportokat használhat, és az útválasztási képességekkel a bejövő kéréseket a megfelelő forráshoz irányíthatja.
Megfontolások
Méretezhetőség és teljesítmény
Az Azure Front Door tartalomkézbesítési hálózatként (CDN) működik, amely a tartalmakat gyorsítótáraozza a globálisan elosztott poP-jaiban. Ha elérhető egy gyorsítótárazott válasz, az Azure Front Door gyorsan kiszolgálja azt, ami növeli a teljesítményt és csökkenti a forrás terhelését. Ha a poP-nak nincs érvényes gyorsítótárazott válasza, az Azure Front Door forgalomgyorsító képességei felgyorsítják a tartalom kézbesítését a forrásból.
Biztonság
Hitelesítés
Az Azure Front Door internetkapcsolattal rendelkező forgatókönyvekhez készült, és nyilvánosan elérhető blobokhoz van optimalizálva. A blobokhoz való hozzáférés hitelesítéséhez fontolja meg a közös hozzáférésű jogosultságkódok (SAS) használatát. Győződjön meg arról, hogy engedélyezi a lekérdezési karakterlánc használatának funkcióját, hogy megakadályozza az Azure Front Door által a hitelesítetlen ügyfeleknek szóló kérelmek kiszolgálását. Ez a megközelítés korlátozhatja a gyorsítótárazás hatékonyságát, mivel minden más SAS-vel rendelkező kérelmet el kell küldeni a forrásnak.
Forrásbiztonság
- Ha prémium szintet használ, az Azure Front Door biztonságosan csatlakozhat az Azure Storage-fiókhoz a Private Link használatával. A tárfiók konfigurálható úgy, hogy megtagadja a nyilvános hálózati hozzáférést, így a kérések csak az Azure Front Door által használt privát végponton keresztül engedélyezhetők. Ez a beállítás biztosítja, hogy az Azure Front Door minden kérést feldolgozz, így védve a tárfiókot a közvetlen internetes kitettségtől.
- Ha a standard szintet használja, a kéréseket közös hozzáférésű jogosultságkóddal (SAS) is biztosíthatja, így az ügyfelek vagy belefoglalhatják az SAS-t a kéréseikbe, vagy az Azure Front Door szabálymotort használva csatolhatják azt. A tárfiók hálózati hozzáférésének nyilvánosan hozzáférhetőnek kell lennie (az összes hálózatról vagy a szolgáltatáscímkében szereplő
AzureFrontDoor.BackendFront Door IP-címekről).
Egyéni tartománynevek
Az Azure Front Door támogatja az egyéni tartományneveket, és kezelheti ezeknek a tartományoknak a TLS-tanúsítványait. Az egyéni tartományok használata biztosítja, hogy az ügyfelek megbízható forrásból fogadják a fájlokat, és a TLS minden kapcsolatot titkosít az Azure Front Doorhoz. Az Azure Front Door TLS-tanúsítványok kezelése segít elkerülni az érvénytelen vagy elavult tanúsítványok kimaradásait és biztonsági problémáit.
Webalkalmazási tűzfal
Az Azure Front Door WAF felügyelt szabálya beszkenneli a gyakori és újonnan felmerülő biztonsági fenyegetésekre vonatkozó kéréseket. Javasoljuk, hogy a WAF és a felügyelt szabályokat statikus és dinamikus alkalmazásokhoz is használja.
Emellett az Azure Front Door WAF szükség esetén sebességkorlátozást és geoszűrést is végezhet.
Tartósság
Az Azure Front Door egy magas rendelkezésre állású szolgáltatás, amely globálisan elosztott architektúrával rendelkezik, így rugalmasan ellenáll az egyes Azure-régiók és poP-k hibáinak.
Az Azure Front Door cache használata csökkenti a tárfiók terhelését. Ha a tárfiók elérhetetlenné válik, az Azure Front Door továbbra is kiszolgálhatja a gyorsítótárazott válaszokat, amíg az alkalmazás helyre nem áll.
A rugalmasság további javítása érdekében fontolja meg a tárfiók redundanciáját. További információ: Azure Storage-redundancia. Másik lehetőségként helyezzen üzembe több tárfiókot, és konfiguráljon több forrást az Azure Front Door-forráscsoportban. A források közötti feladatátvétel beállítása az egyes források prioritásának konfigurálásával. További információ: Origins and origin groups in Azure Front Door.
Költségoptimalizálás
A gyorsítótárazás segít csökkenteni a statikus tartalom kézbesítésének költségeit. Az Azure Front Door PoP-k a válaszok másolatait tárolják, és képesek a gyorsítótárazott válaszok kézbesítésére a későbbi kérések számára, csökkentve a kérések forrásra gyakorolt terhelését. A nagy léptékű statikus tartalommegoldásokban, különösen a nagy fájlokat tartalmazó megoldásokban a gyorsítótárazás jelentősen csökkentheti a forgalmi költségeket.
Ha a Private Linket szeretné használni ebben a megoldásban, telepítse az Azure Front Door prémium szintű szintjét. A standard szint akkor használható, ha nem kell blokkolnia a tárfiók közvetlen forgalmát. További információ: Origin security.
A forgatókönyv üzembe helyezése
A forgatókönyv Bicep- vagy JSON ARM-sablonokkal való üzembe helyezéséhez tekintse meg ezt a rövid útmutatót.
Ha ezt a forgatókönyvet a Terraform használatával szeretné üzembe helyezni, tekintse meg ezt a rövid útmutatót.
Következő lépés
Megtudhatja, hogyan hozhat létre Azure Front Door-profilt.