Guida introduttiva: creare un profilo Forntdoor di Azure - portale di Azure

  • Articolo

Questa guida introduttiva illustra il processo di creazione di un profilo frontdoor di Azure usando il portale di Azure. Sono disponibili due opzioni per creare un profilo frontdoor di Azure: Creazione rapida e Creazione personalizzata. L'opzione Creazione rapida consente di configurare le impostazioni di base del profilo, mentre l'opzione Creazione personalizzata consente di personalizzare il profilo con impostazioni più avanzate.

In questa guida introduttiva si userà l'opzione Creazione personalizzata per creare un profilo frontdoor di Azure. Si distribuiscono prima due servizi app come server di origine. Configurare quindi il profilo frontdoor di Azure per instradare il traffico ai servizi app in base a determinate regole. Infine, si testa la connettività ai servizi app accedendo al nome host front-end di Frontdoor di Azure.

Diagram of Front Door deployment environment using the Azure portal.

Nota

Per i carichi di lavoro Web, è consigliabile usare la protezione DDoS di Azure e un web application firewall per proteggersi dagli attacchi DDoS emergenti. Un'altra opzione consiste nell'usare Frontdoor di Azure insieme a un web application firewall. Frontdoor di Azure offre protezione a livello di piattaforma dagli attacchi DDoS a livello di rete. Per altre informazioni, vedere Baseline di sicurezza per i servizi di Azure.

Prerequisiti

Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

Creare un profilo frontdoor - Creazione rapida

  1. Accedi al portale di Azure.

  2. Per creare una nuova risorsa per Frontdoor e profili rete CDN, passare alla home page o al menu di Azure e selezionare + Crea una risorsa pulsante. Immettere quindi Frontdoor e rete CDN profili nella casella di ricerca e selezionare Crea.

  3. Nella pagina Confronta offerte selezionare Creazione rapida. Selezionare quindi Continua per creare una frontdoor.

    Screenshot of compare offerings.

  4. Nella pagina Crea un profilo frontdoor specificare le informazioni seguenti per le impostazioni necessarie.

    Screenshot of Front Door quick create page.

    Impostazioni Descrizione
    Abbonamento Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare Crea nuovo e immettere myAFDResourceGroup nella casella di testo.
    Nome Assegnare un nome al profilo. Questo esempio usa myAzureFrontDoor.
    Livello Selezionare il livello Standard o Premium. Il livello Standard è ottimizzato per la distribuzione di contenuti. Il livello Premium si basa sul livello Standard ed è incentrato sulla sicurezza. Vedere Confronto tra livelli.
    Nome endpoint Immettere un nome univoco globale per l'endpoint.
    Tipo di origine Selezionare il tipo di risorsa per l'origine. In questo esempio viene selezionato un servizio app come origine che ha collegamento privato abilitato.
    Nome host di origine Immettere il nome host per l'origine.
    Collegamento privato Abilitare il servizio di collegamento privato se si vuole avere una connessione privata tra Frontdoor di Azure e l'origine. Sono supportati solo i servizi di bilanciamento del carico interno, Archiviazione BLOB e servizi app. Per altre informazioni, vedere collegamento privato servizio con Frontdoor di Azure.
    Memorizzazione nella cache Selezionare la casella di controllo se si vuole memorizzare nella cache i contenuti più vicini agli utenti a livello globale usando i POP perimetrali di Frontdoor di Azure e la rete Microsoft.
    Criteri WAF Selezionare Crea nuovo o selezionare un criterio WAF esistente dall'elenco a discesa se si vuole abilitare questa funzionalità.

    Nota

    Quando si crea un profilo frontdoor di Azure, è necessario selezionare un'origine dalla stessa sottoscrizione in cui viene creata la frontdoor.

  5. Selezionare Rivedi e crea e quindi crea per distribuire il profilo di Frontdoor di Azure.

    Nota

    • La propagazione della configurazione di Frontdoor di Azure a tutti i POP perimetrali potrebbe richiedere alcuni minuti.
    • Se è stata abilitata collegamento privato, passare alla pagina della risorsa dell'origine. Selezionare Configurazione rete>collegamento privato. Selezionare quindi la richiesta in sospeso da Frontdoor di Azure e selezionare Approva. Dopo alcuni secondi, l'origine sarà accessibile tramite Frontdoor di Azure in modo protetto.

Creare un profilo frontdoor - Creazione personalizzata

Nell'esercitazione precedente è stato creato un profilo frontdoor di Azure tramite Creazione rapida, che ha creato il profilo con configurazioni di base.

Si crea un profilo frontdoor di Azure usando la creazione personalizzata e la distribuzione di due servizi app usati dal profilo frontdoor di Azure come origini.

Creare due istanze di app Web

Se si dispone già di servizi da usare come origine, passare alla creazione di una frontdoor per l'applicazione.

Questo esempio illustra come creare due istanze di App Web distribuite in due aree di Azure diverse. Entrambe le istanze dell'applicazione Web operano in modalità Attiva/Attiva, il che significa che entrambi possono gestire il traffico in ingresso. Questa configurazione è diversa da una configurazione Attiva/Stand-By, in cui un'istanza funge da backup per l'altra.

Per creare i due App Web per questo esempio, seguire questa procedura:

  1. Accedi al portale di Azure.

  2. Per iniziare a creare la prima app Web, selezionare + Crea una risorsa nell'angolo superiore sinistro del portale. Digitare quindi App Web nella casella di ricerca e selezionare Crea per procedere con la configurazione.

  3. Nella pagina Crea app Web immettere le informazioni necessarie nella scheda Informazioni di base .

    Quick create Azure Front Door premium tier in the Azure portal.

    Impostazione Descrizione
    Abbonamento Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare Crea nuovo e immettere myAppResourceGroup nella casella di testo.
    Nome Immettere un Nome univoco per l'app Web. Questo esempio usa webapp-contoso-001.
    Pubblicazione Selezionare Codice.
    Stack di runtime Selezionare .NET Core 3.1 (LTS).
    Sistema operativo Selezionare Windows.
    Area Selezionare Stati Uniti centrali.
    Piano Windows Selezionare Crea nuovo e immettere myAppServicePlanCentralUS nella casella di testo.
    SKU e dimensioni Selezionare Standard S1 100 ACU totali, 1,75 GB di memoria.

  4. Per completare la creazione dell'app Web, selezionare Rivedi e crea pulsante e verificare il riepilogo delle impostazioni. Selezionare quindi il pulsante Crea per avviare il processo di distribuzione, che potrebbe richiedere fino a un minuto.

  5. Per creare una seconda app Web, seguire la stessa procedura della prima app Web, ma apportare le modifiche seguenti nelle impostazioni:

    Impostazione Descrizione
    Gruppo di risorse Selezionare Crea nuovo e immettere myAppResourceGroup2.
    Nome Immettere un nome univoco per l'app Web, in questo esempio webapp-contoso-002.
    Area Scegliere un'area diversa, in questo esempio Stati Uniti centro-meridionali
    Piano di servizio app>Piano Windows Selezionare Nuovo e immettere myAppServicePlanSouthCentralUS e quindi selezionare OK.

Creare una frontdoor per l'applicazione

In questo passaggio si configura Frontdoor di Azure per instradare il traffico utente all'origine dell'app Web più vicina in base alla latenza. Si applicano criteri web application firewall (WAF) per proteggere la frontdoor di Azure da attacchi dannosi.

  1. Accedi al portale di Azure.

  2. Selezionare + Crea una risorsa nella home page o nel menu di Azure, cercare Frontdoor e rete CDN profili e selezionare Crea.

  3. Selezionare Creazione personalizzata nella pagina Confronta offerte e quindi Continua per creare una frontdoor.

  4. Nella scheda Informazioni di base immettere o selezionare le informazioni seguenti e quindi selezionare Avanti: Segreto.

    Create Front Door profile

    Impostazione Valore
    Abbonamento Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare Crea nuovo e immettere myAFDResourceGroup nella casella di testo.
    Località del gruppo di risorse Selezionare Stati Uniti orientali.
    Nome Immettere un nome univoco in questa sottoscrizione Webapp-Contoso-AFD
    Livello Selezionare Premium.

  5. Facoltativo: segreti. È possibile ignorare questo passaggio se si prevede di usare i certificati gestiti. Se si dispone di un insieme di credenziali delle chiavi esistente in Azure che contiene un certificato per un dominio personalizzato, è possibile selezionare Aggiungi un certificato. È anche possibile aggiungere un certificato in un secondo momento nell'esperienza di gestione.

    Nota

    Per aggiungere un certificato da Azure Key Vault come utente, è necessario disporre dell'autorizzazione appropriata.

    Screenshot of add a secret in custom create.

  6. Nella scheda Endpoint selezionare Aggiungi un endpoint, immettere un nome univoco globale (in questo esempio viene usato contoso-frontend) e selezionare Aggiungi. È possibile creare più endpoint dopo la distribuzione.

    Screenshot of add an endpoint.

  7. Per configurare il routing all'origine dell'app Web, selezionare + Aggiungi una route.

    Screenshot of add a route from the endpoint page.

  8. Immettere o selezionare le informazioni seguenti nella pagina Aggiungi una route e selezionare Aggiungi per aggiungere la route alla configurazione dell'endpoint.

    Screenshot of add a route configuration page.

    Impostazione Description
    Name Specificare un nome che identifica il mapping tra domini e gruppi di origine.
    Domini Il sistema ha generato un nome di dominio da usare. Per aggiungere un dominio personalizzato, selezionare Aggiungi un nuovo dominio. In questo esempio viene usato il nome di dominio predefinito.
    Criteri di corrispondenza Specificare gli URL accettati da questa route. In questo esempio viene utilizzata l'impostazione predefinita, che accetta tutti i percorsi URL.
    Protocolli accettati Scegliere il protocollo accettato dalla route. Questo esempio accetta richieste HTTP e HTTPS.
    Reindirizza Attivare questa impostazione per reindirizzare tutte le richieste HTTP all'endpoint HTTPS.
    Gruppo di origine Per creare un nuovo gruppo di origine, selezionare Aggiungi un nuovo gruppo di origine e immettere myOriginGroup come nome del gruppo di origine. Selezionare quindi + Aggiungi un'origine e immettere WebApp1 come Nome e Servizi app per Tipo di origine. In Nome host selezionare webapp-contoso-001.azurewebsites.net e selezionare Aggiungi per aggiungere l'origine al gruppo di origine. Ripetere i passaggi per aggiungere la seconda app Web come origine con WebApp2 come nome e webapp-contoso-002.azurewebsites.net come nome host. Scegliere una priorità per ogni origine, con il numero più basso con la priorità più alta. Se è necessario frontdoor di Azure per gestire entrambe le origini, usare una priorità pari a 1. Scegliere un peso per ogni origine, con il peso che determina il modo in cui il traffico viene instradato alle origini. Usare pesi uguali di 1000 se il traffico deve essere instradato in modo uniforme a entrambe le origini. Dopo aver aggiunto entrambe le origini dell'app Web, selezionare Aggiungi per salvare la configurazione del gruppo di origine.
    Percorso origine Non immettere alcun valore.
    Protocollo di inoltro Scegliere il protocollo ricevuto dal gruppo di origine. In questo esempio viene usato lo stesso protocollo delle richieste in ingresso.
    Memorizzazione nella cache Contrassegnare la casella di controllo se si vogliono usare i POP perimetrali di Frontdoor di Azure e la rete Microsoft per memorizzare nella cache i contenuti più vicini agli utenti a livello globale.
    Regole Dopo aver distribuito il profilo frontdoor di Azure, è possibile usare regole per personalizzare la route.

  9. Selezionare + Aggiungi un criterio per applicare un criterio web application firewall (WAF) a uno o più domini nel profilo frontdoor di Azure.

    Screenshot of add a policy from endpoint page.

  10. Per creare un criterio di sicurezza, specificare un nome che lo identifica in modo univoco. Scegliere quindi i domini a cui applicare i criteri. È anche possibile selezionare un criterio WAF esistente o crearne uno nuovo. Per completare, selezionare Salva per aggiungere i criteri di sicurezza alla configurazione dell'endpoint.

    Screenshot of add security policy page.

  11. Per distribuire il profilo frontdoor di Azure, selezionare Rivedi e crea e quindi Crea. Le configurazioni vengono propagate in tutte le posizioni perimetrali in pochi minuti.

Verificare frontdoor di Azure

Il completamento della distribuzione globale del profilo frontdoor di Azure richiede alcuni minuti. Successivamente, è possibile accedere all'host front-end creato immettendo il nome host dell'endpoint in un browser. Ad esempio, contoso-frontend.z01.azurefd.net. La richiesta viene indirizzata automaticamente al server più vicino tra i server specificati nel gruppo di origine.

Per testare la funzionalità di failover globale istantaneo, seguire questa procedura se sono state create le app in questa guida introduttiva. Viene visualizzata una pagina di informazioni con i dettagli dell'app.

  1. Per accedere all'host front-end, immettere il nome host dell'endpoint in un browser come descritto in precedenza. Ad esempio, contoso-frontend.z01.azurefd.net.

  2. Nella portale di Azure trovare e selezionare Servizi app nella barra di ricerca. Individuare una delle App Web dall'elenco, ad esempio WebApp-Contoso-001.

  3. Per arrestare l'app Web, selezionarla dall'elenco e quindi selezionare Arresta. Confermare l'azione selezionando .

  4. Ricaricare il browser per visualizzare nuovamente la pagina delle informazioni.

    Suggerimento

    Il traffico potrebbe richiedere del tempo per passare alla seconda app Web. Potrebbe essere necessario ricaricare il browser.

  5. Per arrestare la seconda app Web, selezionarla dall'elenco e quindi scegliere Arresta. Confermare l'azione selezionando .

  6. Ricaricare la pagina Web. Dopo l'aggiornamento dovrebbe essere visualizzato un messaggio di errore.

    Both instances of the web app stopped

Pulire le risorse

Dopo aver completato l'attività, è possibile eliminare tutte le risorse create. La rimozione di un gruppo di risorse elimina anche il relativo contenuto. Per evitare di incorrere in addebiti non necessari, è consigliabile eliminare queste risorse se non si prevede di usare questa frontdoor di Azure.

  1. Nella portale di Azure individuare e selezionare Gruppi di risorse usando la barra di ricerca oppure passare a Gruppi di risorse dal menu portale di Azure.

  2. Usare l'opzione di filtro o scorrere verso il basso l'elenco per individuare un gruppo di risorse, ad esempio myAFDResourceGroup, myAppResourceGroup o myAppResourceGroup2.

  3. Scegliere il gruppo di risorse, quindi selezionare l'opzione Elimina gruppo di risorse.

    Avviso

    L'eliminazione di un gruppo di risorse è un'azione irreversibile. Le risorse all'interno del gruppo di risorse non saranno recuperabili dopo l'eliminazione.

  4. Immettere il nome del gruppo di risorse da confermare e quindi selezionare il pulsante Elimina .

  5. Seguire la stessa procedura per i due gruppi di risorse rimanenti.

Passaggi successivi

Passare all'articolo successivo per informazioni su come configurare un dominio personalizzato per Frontdoor di Azure.

Aggiungere un dominio personalizzato