Konfigurer Azure Front Door med Power Pages-nettsteder

Som nettstedsutvikler kan du bruke Azure Front Door med Power Pages for å bruke funksjonene for kanthurtigbufring og brannmur for nettbaserte apper. I denne artikkelen får du vite hvordan du konfigurerer Azure Front Door med Power Pages.

Merk

• Selv om denne artikkelen er fokusert på Azure Front Door, kan lignende trinn brukes for andre innholdsleveringsnettverk eller leverandører av brannmur for nettbaserte apper. Terminologien som brukes for ulike komponenter, kan være forskjellig.
• Selv om HTTPS-innstillinger for egendefinert domene ved hjelp av Azure-portalen tillater at du velger en standard minimum TLS-versjon mellom 1.0 og 1.2, bør du bruke TLS versjon 1.2 for sterke chiffreringer.

Følg denne fremgangsmåten for å konfigurere Azure Front Door med Power Pages:

1. Konfigurer Azure Front Door-endepunkt og egendefinert domenenavn som nettstedsbrukere skal bruke.
2. Konfigurer Power Pages-nettstedet som opprinnelsen.
3. Definer rutingsregler for å hurtigbufre statiske forespørsler.
4. Definer regler for brannmur for nettbaserte apper for å analysere innkommende forespørsler.
5. Konfigurer nettstedet slik at den godtar trafikk bare fra Azure Front Door.

Konfigurere Azure Front Door-endepunkt og egendefinert domenenavn

I denne delen får du vite hvordan du konfigurerer Azure Front Door-tjenesten og aktiverer et egendefinert domenenavn for denne konfigurasjonen.

Forutsetninger

• Et Azure-abonnement med tilgang til å opprette nye tjenester.

• Et egendefinert domenenavn og tilgang til DNS-leverandøren for tilpasset domenenavnoppsett.

• Et SSL-sertifikat som skal brukes for det egendefinerte domenenavnet. Sertifikatet må oppfylle minimumskravene for Power Pages.

• Eiertilgang til Power Pages for å konfigurere det egendefinerte domenenavnet.

Konfigurere Azure Front Door-endepunktet

Merk

Hvis du allerede har opprettet Azure Front Door-ressursen, går du til trinn 3 i fremgangsmåten nedenfor.

1. Logg deg på Azure Portal, og opprett en ny Azure Front Door-ressurs (Standard eller Premium). Mer informasjon: Hurtigstart: Opprette en profil for Azure Front Door Standard/Premium – Azure Portal

   

2. Velg Hurtigoppretting.

   Tips

   Du kan endre de fleste innstillingene for Azure Front Door senere.

   

3. Velg, eller fyll ut, følgende detaljer for å konfigurere ressursen.

   Alternativ	Beskrivelse
   Prosjektdetaljer	Innstillinger relatert til ressursorganisasjonen, slik som for andre Azure-ressurser.
   Abonnement	Velg abonnementet der Azure Front Door-ressursen skal opprettes.
   Ressursgruppe	Velg ressursgruppen for Azure Front Door. Du kan også opprette en ny ressursgruppe.
   Plassering for ressursgruppe	Plasseringen for ressursgruppen.
   Profildetaljer	Konfigurasjonen for Azure Front Door.
   Navn	Navnet på Azure Front Door-ressursen.
   Nivå	Velg et nivå for Azure Front Door-ressursen. I denne artikkelen har vi valgt Premium-nivået, som gir tilgang til det Microsoft-administrerte regelsettet og regelsettet for forhindring av roboter for brannmur for nettbaserte apper.
   Endepunktinnstillinger	Innstillinger for Azure Front Door-endepunktet.
   Endepunktnavn	Skriv inn et navn for Azure Front Door-forespørslene. Dette navnet er den faktiske nettadressen som behandler trafikken for brukere. Vi skal senere konfigurere et egendefinert domenenavn som peker mot denne nettadressen.
   Opprinnelsestype	Velg Egendefinert.
   Vertsnavn for opprinnelse	Vertsnavnet for Power Pages-nettstedet. Format: yoursitename.powerappsportals.com eller yoursitename.microsoftcrmportals.com uten https:// i begynnelsen. Eksempel: contoso.powerappsportals.com
   Private Link	Ikke aktiver Private Link-tjenesten.
   Hurtigbufring	Aktiver hurtigbufring. Hurtigbufring bruker funksjonene for kanthurtigbufring for statisk innhold. Hurtigbufring diskuteres videre i Definere rutingsregler for å hurtigbufre statiske forespørsler senere i denne artikkelen.
   Virkemåte for hurtigbufring av spørringsstrenger	Velg Bruk spørringsstreng. Hvis en side har dynamisk innhold som oppfyller spørringsstrengen, sikrer dette alternativet at det tas hensyn til spørringsstrengen.
   Komprimering	Aktiver komprimering.
   Policy for brannmur for nettbaserte apper	Opprett en ny policy for brannmur for nettbaserte apper, eller bruk en eksisterende. Hvis du vil ha informasjon om policy for brannmur for nettbaserte apper, kan du gå til Definere regler for brannmur for nettbaserte apper for å analysere innkommende forespørsler senere i denne artikkelen, og også Opplæring: Lage en policy for brannmur for nettbaserte apper i Azure Front Door ved hjelp av Azure Portal.

4. Velg Se gjennom + opprett, og vent til konfigurasjonen er fullført. Dette tar vanligvis 5 til 10 minutter.<

5. Valider konfigurasjonen ved å gå til nettadressen for endepunkt (for eksempel contoso.example.azurefd.net) og kontrollere at innholdet vises fra Power Pages-nettstedet.

   

   Tips

   Hvis du får feilmeldingen «404 ikke funnet», kan det hende at konfigurasjonen ikke er fullført. Vent litt, og prøv på nytt.

Konfigurere et egendefinert domenenavn

Azure Front Door-endepunktet har hittil blitt konfigurert slik at det behandler trafikk fra Power Pages-nettstedenes serverdel. Denne konfigurasjonen bruker imidlertid fortsatt nettadressen for Azure Front Door, som fører til problemer, for eksempel feil ved captcha-kontroll eller skaleringsproblemer.

Nettlesere avviser informasjonskapsler som angis av Power Pages når du bruker en nettadresse for Azure Front Door-endepunkt som er forskjellig fra nettadressen til nettstedet. Du må derfor konfigurere et egendefinert domenenavn både for nettstedet og Azure Front Door-endepunktet.

1. Konfigurer et egendefinert domenenavn for nettstedet. Mer informasjon: Legge til et egendefinert domenenavnet.

2. Aktiver nettstedsdomenenavnet for portalen i Azure Front Door-ressursen ved å gjøre følgende:

   1. Oppdater DNS-leverandøren ved å fjerne CNAME-posten som ble opprettet tidligere under konfigurasjonen av det egendefinerte domenet for Power Pages. Bare CNAME skal oppdateres. Ikke fjern vertsnavnet for opprinnelsen. DNS retter CNAME mot Azure Front Door-endepunktet. Det eneste formålet med å legge til CNAME er å sikre at det egendefinerte vertsnavnet finnes i Power Pages. Dette sikrer at Power Pages kan sende trafikk til dette egendefinerte domenenavnet gjennom Azure Front Door, og at alle informasjonskapsler for nettsted også har domenet riktig konfigurert.

   2. Konfigurer det egendefinerte domenenavnet i Azure Front Door-endepunktet ved å følge denne fremgangsmåten: Opprette et egendefinert domene i Azure Front Door Standard/Premium SKU ved hjelp av Azure Portal.

3. Kontroller følgende for å validere konfigurasjonen:

   1. Det egendefinerte domenenavnet peker mot Azure Front Door-endepunktet. Bruk nslookup til å bekrefte at en CNAME-oppføring til Azure Front Door-endepunktet returneres riktig. Hvis CNAME-oppføringen fortsatt peker mot Power Pages, må du rette dette.

   2. Når du blar til det egendefinerte domenenavnet, vises Power Pages-nettstedssiden.

Når du har fulgt denne fremgangsmåten, har du fullført en grunnleggende konfigurasjon av Azure Front Door-endepunkt for nettstedet. I de neste trinnene skal du oppdatere ulike innstillinger og regler for å gjøre denne konfigurasjonen mer effektiv og bedre til å håndtere ulike brukstilfeller.

Konfigurere nettstedet som en opprinnelsesserver

Det neste trinnet er å optimalisere innstillingene for opprinnelsesserver for å sikre at konfigurasjonen fungerer som den skal. Bruk Endpoint Manager i Azure Front Door-konfigurasjoner i Azure Portal til å oppdatere innstillingene for opprinnelsesgruppe.

Under hurtigopprettingskonfigurasjonen du utførte tidligere, angav du endepunktdetaljer som automatisk opprettet konfigurasjonen med navnet default-origin-group(associated) (dette navnet kan variere avhengig av nasjonale innstillinger). I dette trinnet skal du endre innstillingene for default-origin-group. Bildet nedenfor viser hvordan innstillingene for dette trinnet ser ut når du åpner opprinnelsesgruppen for første gang.

Opprinnelser i Azure Front Door representerer serverdeltjenesten som Azure Front Door-kantserverne kobles til, for å levere innhold til brukere. Du kan legge til flere opprinnelser i Azure Front Door-forekomsten for å få innhold fra flere serverdeltjenester.

Tips

Power Pages gir høy tilgjengelighet på tjenestelaget, og derfor er én opprinnelsesserver tilstrekkelig når du konfigurerer opprinnelser for nettsteder.

Den ene opprinnelsen for Power Pages-nettsteder skal peke mot vertsnavnet for nettstedet (som du konfigurerte tidligere). Hvis du ikke fulgte konfigurasjonstrinnene for hurtigoppretting, kan du legge til en ny opprinnelse som peker mot vertsnavnet for nettstedet.

Bildet nedenfor viser et eksempel på opprinnelseskonfigurasjonen.

Bruk følgende innstillinger til å konfigurere opprinnelsen for Power Pages-nettsteder.

Alternativ	Konfigurasjonstype eller -verdi
Opprinnelsestype	Velg Egendefinert.
Vertsnavn for opprinnelse	Angi vertsnavnet for nettstedet. Eksempel: contoso.powerappsportals.com
Vertshode for opprinnelse	Angi det egendefinerte domenenavnet, eller la det stå tomt. Førstnevnte sikrer at Azure Front Door sender opprinnelseshodet som et egendefinert domenenavn. Sistnevnte får det til å sendes gjennom det brukeren oppgav mens vedkommende opprettet forespørselen.
HTTP-port	80
HTTPS-port	443
Prioritet	1
Vekt	1000
Private Link	Deaktivert
Status	Merk av for Aktiver denne opprinnelsen.

Når du har konfigurert opprinnelsen og gått tilbake til opprinnelsesgruppen, oppdaterer du innstillingene for tilstandstester og alternativer for belastningsfordeling som beskrevet i tabellen nedenfor.

Alternativ	Konfigurasjonstype eller -verdi
Tilstandstester	Tilstandstester er en mekanisme som brukes til å sikre at opprinnelsestjenesten fungerer, og å ta beslutninger om ruting av trafikk basert på testresultatene. I dette tilfellet trenger vi ikke tilstandstester, så vi deaktiverte dem.
Belastningsfordeling	Siden vi har konfigurert én opprinnelse og tilstandstester er deaktivert, spiller ikke denne innstillingen noen rolle i denne konfigurasjonen.

Valider at konfigurasjonen for opprinnelsesgruppen ser ut som på bildet nedenfor.

Definere rutingsregler for å hurtigbufre statiske forespørsler

Ruter fastsetter hvordan vi bruker funksjonene for kanthurtigbufring i Azure Front Door til å forbedre skalerbarheten til en nettstedet. Det er også viktig å konfigurere ruter for å sikre at vi ikke bufrer dynamisk innhold som behandles av nettstedet, som kan føre til utilsiktet datatilgang.

Vi må gjøre følgende for regeldefinisjon:

1. Opprette rutekonfigurasjon.
2. Definere et regelsett.
3. Knytte regelsettet til en rute.
4. Validere reglene og rutekonfigurasjonen.

Opprette rutekonfigurasjon

Du oppretter rutekonfigurasjonen ved å velge Endpoint Manager i venstre rute, velge Ruter og deretter velge standardruten. Standardruten opprettes under konfigurasjonen av hurtigoppretting.

Oppdater rutekonfigurasjonen som beskrevet i tabellen nedenfor.

Alternativ	Konfigurasjon
Domener-delen
Domener	Domenenavnet du brukte da du konfigurerte det egendefinerte domenenavnet tidligere.
Mønstre som skal samsvare	Sett til /* (standardverdi). Alle nettstedsforespørsler sendes til samme opprinnelse i konfigurasjonen vår.
Godtatte protokoller	Sett til Bare HTTPS for å sikre at all trafikk som behandles, er sikker.
Omdiriger	Merk av for Omdiriger all trafikk slik at den bruker HTTPS.
Delen Opprinnelsesgruppe
Opprinnelsesgruppe	Sett til opprinnelsesgruppen du definerte tidligere.
Opprinnelsesbane	Hold denne tom.
Protokoll for videresending	Sett til Bare HTTPS eller Samsvar med innkommende forespørsel.
Delen Hurtigbufring
Hurtigbufring	Merk av for Aktiver hurtigbufring hvis du vil bruke kanthurtigbufring.
Virkemåte for hurtigbufring av spørringsstrenger	Velg Bruk spørringsstreng for å sikre at dynamisk innhold basert på spørringsstrengen kan leveres.
Komprimering	Velg Aktiver komprimering for å optimalisere innholdslevering.

Definere et regelsett

Regelsett styrer hvordan innhold skal hurtigbufres. Dette trinnet er viktig, fordi det styrer hvordan innhold bufres av kantservere for å forbedre skalering for nettstedet. Et regelsett som er feilkonfigurert, kan imidlertid føre til hurtigbufring av dynamisk innhold som spesifikt skal leveres for hver enkelt bruker.

For å konfigurere regelsettet riktig er det viktig at du forstår hvilken type innhold nettstedet leverer. Denne forståelsen hjelper deg å konfigurere regelsettet ved å bruke virkningsfulle regler. Når det gjelder scenarioet i denne artikkelen, bruker nettstedet dynamisk innhold på alle sider, og den leverer også statiske filer. Nettstedet prøver derfor å oppnå følgende:

• Alle statiske filer hurtigbufres og leveres fra kantserverne.
• Ikke noe av sideinnholdet hurtigbufres.

Slik konfigurerer du dette regelsettet:

1. Velg Regelsett i ruten til venstre, og velg deretter Legg til et regelsett.

   

2. Angi et regelsettnavn, og lagre det.

   

La oss nå konfigurere regelsettet basert på forretningskravet og med følgende konfigurasjon for å oppfylle kravene i det tidligere nevnte scenarioet.

Krav: Alle statiske filer hurtigbufres og leveres fra kantserverne

Nettstedet i dette scenarioet kan inneholde statiske filer med filtypene CSS, PNG, JPG, JS, SVG, WOFF eller ICO. Vi trenger derfor en regel for å evaluere filtypen til forespørselen og se etter bestemte filtyper.

Merk

Det finnes andre måter å skrive denne regelen på, for eksempel ved å bruke nettadressen til eller filnavnet for forespørselen. Hvis du vil ha mer informasjon om samsvarsbetingelsene for Azure Front Door-regler, kan du gå til Samsvarsbetingelser for regelmotor for Azure Front Door.

Skjermbilde av en HVIS-betingelse kalt «Be om filtype» der operatoren er satt til Er lik, verdien er satt til css png jpg js svg woff ico, og Bokstavtypetransformasjon er satt til Ingen transformasjon.

I følgende handlingskonfigurasjon overstyrer du hurtigbufferhodet som er angitt av Power Pages, slik at disse filene bufres litt lenger i nettleseren. Power Pages setter utløpstiden for hurtigbufring til én dag som standard. Men vi overstyrer dette i dette scenarioet og setter den til sju dager ved å konfigurere en bufferutløpshandling og angi at buffervirkemåten til Overstyre, som vist på bildet nedenfor.

Til slutt ser hele regelen ut som på bildet nedenfor.

Krav: Ikke noe av sideinnholdet hurtigbufres

Power Pages-nettstedskonfigurasjon sikrer generelt sett at hvis en side har et innebygd skjema (som betyr at den leverer innhold som spesifikt gjelder en oppføring), får den hodeverdien Bufferkontroll satt til privat, som sikrer at Azure Front Door ikke bufrer denne forespørselen. Denne metoden tar imidlertid ikke hensyn til scenarioene der du bruker Liquid-maler til å bygge inn brukerspesifikt innhold på sidene, for eksempel for å vise en bestemt oppføring til et sett med brukere. Vi legger derfor til en eksplisitt regel for å sikre at ingen nettstedsside bufres.

Det første trinnet er å konfigurere betingelsen. Betingelsen foretar en omvendt kontroll av det vi gjorde i den første regelen, og kontrollerer at forespørselen ikke tar med en filtype som peker mot en av filtypene vi vil hurtigbufre.

Skjermbilde av en HVIS-betingelse kalt «Be om filtype» der operatoren er satt til Ikke lik, verdien er satt til css png jpg js svg woff ico, og Bokstavtypetransformasjon er satt til Ingen transformasjon.

På lignende måte som i forrige regel skriver vi en handling for Hurtigbufferutløp i handlingsbetingelsen. Denne gangen setter vi imidlertid virkemåten til Omgå hurtigbuffer. Dette sikrer at alle forespørsler som oppfyller denne regelen, ikke hurtigbufres.

Den ferdige regelen ser ut som på bildet nedenfor.

Knytte regelsettet til en rute

Når du har opprettet regelsettet, er neste trinn å knytte det til en rute.

1. Velg regelsettet, og velg deretter Tilknytt en rute på kommandolinjen.

   

2. Velg endepunktnavnet og den tilgjengelige ruten. Flere ruter kan være tilgjengelige, så velg den du konfigurerte tidligere.

   

3. Hvis du har flere regelsett og vil definere rekkefølgen de skal evalueres i, velger du Endre rekkefølge for regelsett og konfigurerer rekkefølgen. Eksempelscenarioet vårt har bare ett regelsett.

   

4. Velg Ferdig for å fullføre.

Validere reglene og rutekonfigurasjonen

Du kan validere at regler og rutekonfigurasjoner fungerer som de skal, ved å sikre at all trafikk sendes via HTTPS, og at hurtigbufringsreglene evalueres riktig.

Slik sikrer du at all trafikk sendes via HTTPS, og at alle HTTP-oppkall omdirigeres til HTTPS:

• Angi domenenavnet i en nettleser, og kontroller at nettadressen endres til HTTPS automatisk når innholdet gjengis.

Slik sikrer du at hurtigbufringsregler evalueres og fungerer som forventet:

For å kunne kontrollere hurtigbufringsreglene må vi analysere nettverksspor på utviklerverktøylinjen i en nettleser for å validere at hurtigbufringshodene for ulike typer innhold er riktig angitt.

Merk

Det kan ta opptil 10 minutter å gjenspeile regelendringer.

1. Åpne en ny fane i nettleseren, åpne utviklerverktøylinjen, og gå til nettadressen til Power Pages-nettstedet (pass på at du åpner utviklerverktøylinjen før du går til nettadressen).

2. Gå til nettverksfanen for å vise alle nettverksforespørsler.

3. Velg en forespørsel for enhver CSS-fil i listen over forespørsler.

   I Svarhoder-delen i forespørselsdetaljene kontrollerer du at det finnes et hode kalt x-cache. Dette hodet sikrer at forespørselen sendes via kantservere og kan hurtigbufres. Hvis verdien for x-cache er satt til CONFIG_NOCACHE eller en annen verdi som inneholder termen NOCACHE, er ikke konfigurasjonen riktig.

   

4. Velg en Side-forespørsel og kontroller hodene, på lignende måte som i forrige trinn. Hvis x-cache er satt til CONFIG_NOCACHE, fungerer konfigurasjonen riktig.

   

Definere regler for brannmur for nettbaserte apper for å analysere innkommende forespørsler

Det neste trinnet i konfigurasjonen er å konfigurere regler for brannmur for nettbaserte apper for innkommende forespørsler. I denne artikkelen tar vi bare for oss grunnleggende trinn. Hvis du vil ha informasjon om avansert konfigurasjon av brannmur for nettbaserte apper, går du til Azure Web Application Firewall i Azure Front Door.

1. Velg Sikkerhet i venstre rute.

   

   Under konfigurasjonen av hurtigoppretting opprettet vi en ny policy for brannmur for nettbaserte apper som vises her. Hvis du imidlertid hoppet over det trinnet, kan du opprette en ny policy ved å velge Ny.

2. Velg navnet på policyen for brannmur for nettbaserte apper.

3. Velg Policyinnstillinger, og gjør deretter følgende:

   1. Aktiver inspeksjon av forespørselstekst: Merk av for dette alternativet hvis du vil at forespørselsteksten skal undersøkes i tillegg til informasjonskapsler, hoder og nettadresser.

   2. Nettadresse for omdirigering: Angi en nettadresse som ikke er et nettsted. Brukeren blir omdirigert til denne nettadressen hvis en regel for brannmur for nettbaserte apper er satt til å omdirigere. Kontroller at denne nettadressen er tilgjengelig offentlig og anonymt.

   3. Statuskode ved blokkering av forespørsel: Denne HTTP-statuskoden returneres til brukeren hvis forespørselen blokkeres av brannmur for nettbaserte apper.

   4. Svartekst ved blokkering: Du kan legge til en egendefinert melding her som vises for brukeren hvis forespørselen blokkeres av brannmur for nettbaserte apper.

   

4. Slik konfigurerer du regelsettet som alle forespørsler skal evalueres mot:

   1. Velg Administrerte regler i den venstre ruten.

      

   2. Velg Tilordne på kommandolinjen, og velg deretter fra listen over standardregelsett. Administrerte regelsett administreres av Microsoft og oppdateres regelmessig. Hvis du vil ha mer informasjon om regelsett, kan du gå til DRS-regelgrupper og regler for brannmur for nettbaserte apper.

      

Etter at det administrerte regelsettet er tilordnet, er konfigurasjonen fullført. Som et ekstra trinn kan du også se på hvordan du konfigurerer utelatelseslister for eksisterende regler og aktiverer egendefinerte regler.

Viktig

Brannmur for nettbaserte apper konfigureres som standard i Gjenkjenningspolicy, som oppdager problemer i forhold til det definerte regelsettet og logger dem. Denne modusen blokkerer imidlertid ikke forespørslene. For å kunne blokkere forespørsler må du sette brannmur for nettbaserte apper i modusen Forhindring.

Vi anbefaler at du foretar grundig testing i modusen Forhindring for å kontrollere at alle scenarioene fungerer, og for å sikre at du ikke må finjustere regelsettet eller legge til utelatelsespolicyer. Du må ikke aktivere modusen Forhindring før du har kontrollert at hele konfigurasjonen fungerer som forventet.

Konfigurer Power Pages slik at de godtar trafikk bare fra Azure Front Door

Det siste trinnet i denne konfigurasjonen er å sikre at Power Pages-nettstedet bare godtar trafikk fra Azure Front Door. Når det gjelder denne kontrollen, må vi aktivere begrensninger for IP-adresse i nettstedet.

Du finner IP-adresseområdet som Azure Front Door skal brukes på, ved å gå til Hvordan åpner jeg tilgang til serverdelen bare for Azure Front Door?.

Merk

Power Pages støtter ikke filtrering som er basert på X-Azure-FDID.

Øke svartiden for opprinnelse

Azure Front Door har som standard et svartidsavbrudd for opprinnelse på 60 sekunder. Vi anbefaler imidlertid at du øker dette til 240 sekunder for å sikre at langvarige scenarioer, for eksempel filopplasting eller eksport til Excel, fungerer som forventet.

1. Velg Endpoint Manager i den venstre ruten.

   

2. Velg Rediger endepunkt.

   

3. Velg Egenskaper for endepunkt i øvre høyre hjørne.

   

4. Endre svartiden for opprinnelse til 240 sekunder, og velg deretter Oppdater.

   

Se også

Hva er Azure Front Door?
Hurtigstart: Opprette en Azure Front Door-profil – Azure Portal
Opprette et egendefinert domene i Azure Front Door Standard/Premium SKU ved hjelp av Azure Portal
Hvordan låser jeg tilgang til serverdelen bare for Azure Front Door?
Samsvarsbetingelser for regelmotor for Azure Front Door