Azure Front Door gebruiken met Azure Storage-blobs
Azure Front Door versnelt de levering van statische inhoud van Azure Storage-blobs en maakt een veilige en schaalbare architectuur mogelijk. Statische contentlevering is handig voor veel verschillende gebruiksvoorbeelden, waaronder het hosten van websites en het leveren van bestanden.
Architectuur
In deze referentiearchitectuur implementeert u een opslagaccount en Front Door-profiel met één oorsprong.
Gegevensstroom
Gegevens stromen als volgt door het scenario:
- De client brengt een beveiligde verbinding tot stand met Azure Front Door met behulp van een aangepaste domeinnaam en het door Front Door geleverde TLS-certificaat. De verbinding van de client wordt beëindigd op een nabijgelegen Front Door-aanwezigheidspunt (PoP).
- De WaF (Front Door Web Application Firewall) scant de aanvraag. Als de WAF bepaalt dat het risiconiveau van de aanvraag te hoog is, wordt de aanvraag geblokkeerd en retourneert Front Door een HTTP 403-foutreactie.
- Als de cache van Front Door PoP een geldig antwoord voor deze aanvraag bevat, retourneert Front Door het antwoord onmiddellijk.
- Anders verzendt de PoP de aanvraag naar het oorspronkelijke opslagaccount, waar deze zich ook ter wereld bevindt, met behulp van het backbone-netwerk van Microsoft. De PoP maakt verbinding met het opslagaccount met behulp van een afzonderlijke, langdurige TCP-verbinding. In dit scenario wordt Private Link gebruikt om veilig verbinding te maken met het opslagaccount.
- Het opslagaccount verzendt een antwoord naar de Front Door PoP.
- Wanneer de PoP het antwoord ontvangt, wordt het in de cache opgeslagen voor volgende aanvragen.
- De PoP retourneert het antwoord op de client.
- Aanvragen die rechtstreeks via internet naar het opslagaccount worden verzonden, worden geblokkeerd door de Azure Storage-firewall.
Onderdelen
- Azure Storage slaat statische inhoud op in blobs.
- Azure Front Door ontvangt binnenkomende verbindingen van clients, scant deze met de WAF, stuurt de aanvraag veilig door naar het opslagaccount en slaat antwoorden in de cache op.
Alternatieven
Als u statische bestanden in een andere cloudopslagprovider hebt of als u statische inhoud host op de infrastructuur waarvan u eigenaar bent en onderhoudt, blijft veel van dit scenario van toepassing. U moet echter overwegen hoe u het binnenkomende verkeer naar uw oorspronkelijke server beveiligt om te controleren of het via Front Door wordt geleverd. Als uw opslagprovider geen ondersteuning biedt voor Private Link, kunt u overwegen een alternatieve benadering te gebruiken, zoals het toestaan van de Front Door-servicetag en het inspecteren van de X-Azure-FDID header.
Scenariodetails
Statische levering van inhoud is handig in veel situaties, zoals deze voorbeelden:
- Afbeeldingen, CSS-bestanden en JavaScript-bestanden leveren voor een webtoepassing.
- Bestanden en documenten leveren, zoals PDF-bestanden of JSON-bestanden.
- Het leveren van niet-streaming video.
Op basis van de aard verandert statische inhoud niet regelmatig. Statische bestanden kunnen ook groot zijn. Deze kenmerken maken het een goede kandidaat om in de cache te worden opgeslagen, waardoor de prestaties worden verbeterd en de kosten voor het verwerken van aanvragen worden verminderd.
In een complex scenario kan één Front Door-profiel statische inhoud en dynamische inhoud leveren. U kunt afzonderlijke origin-groepen gebruiken voor elk type oorsprong en de routeringsmogelijkheden van Front Door gebruiken om binnenkomende aanvragen naar de juiste oorsprong te routeren.
Overwegingen
Schaalbaarheid en prestaties
Als CDN (Content Delivery Network) slaat Front Door de inhoud in de cache op in het wereldwijd gedistribueerde netwerk van Pop's. Wanneer een kopie in de cache van een antwoord beschikbaar is op een PoP, kan Front Door snel reageren met het antwoord in de cache. Het retourneren van inhoud uit de cache verbetert de prestaties van de oplossing en vermindert de belasting van de oorsprong. Als de PoP geen geldig antwoord in de cache heeft, verkorten de mogelijkheden voor verkeersversnelling van Front Door de tijd om de inhoud van de oorsprong te leveren.
Beveiliging
Verificatie
Front Door is ontworpen om internetgericht te zijn en dit scenario is geoptimaliseerd voor openbaar beschikbare blobs. Als u de toegang tot blobs wilt verifiëren, kunt u handtekeningen voor gedeelde toegang gebruiken en ervoor zorgen dat u het querytekenreeksgedrag Queryreeks gebruiken inschakelt om te voorkomen dat Front Door aanvragen verzendt naar niet-geverifieerde clients. Deze aanpak maakt echter mogelijk geen effectief gebruik van de Front Door-cache, omdat elke aanvraag met een andere handtekening voor gedeelde toegang afzonderlijk naar de oorsprong moet worden verzonden.
Oorsprongbeveiliging
Front Door maakt veilig verbinding met het Azure Storage-account met behulp van Private Link. Het opslagaccount is geconfigureerd om directe toegang vanaf internet te weigeren en om alleen aanvragen toe te staan via de privé-eindpuntverbinding die door Front Door wordt gebruikt. Deze configuratie zorgt ervoor dat elke aanvraag wordt verwerkt door Front Door en voorkomt dat de inhoud van uw opslagaccount rechtstreeks op internet wordt weergegeven. Voor deze configuratie is echter de Premium-laag van Azure Front Door vereist. Als u de standard-laag gebruikt, moet uw opslagaccount openbaar toegankelijk zijn. U kunt een handtekening voor gedeelde toegang gebruiken om aanvragen voor het opslagaccount te beveiligen. Laat de client de handtekening voor al hun aanvragen opnemen of de Front Door-regelengine gebruiken om deze toe te voegen vanuit Front Door.
Aangepaste domeinnamen
Front Door ondersteunt aangepaste domeinnamen en kan TLS-certificaten uitgeven en beheren voor die domeinen. Met behulp van aangepaste domeinen kunt u ervoor zorgen dat uw clients bestanden ontvangen van een vertrouwde en vertrouwde domeinnaam en dat TLS elke verbinding met Front Door versleutelt. Wanneer Front Door uw TLS-certificaten beheert, voorkomt u storingen en beveiligingsproblemen vanwege ongeldige of verouderde TLS-certificaten.
Azure Storage biedt ook ondersteuning voor aangepaste domeinnamen, maar biedt geen ondersteuning voor HTTPS wanneer u een aangepast domein gebruikt. Front Door is de beste manier om een aangepaste domeinnaam te gebruiken met een opslagaccount.
Web Application Firewall
De beheerde regelsets van Front Door WAF scannen aanvragen op veelvoorkomende en opkomende beveiligingsrisico's. U wordt aangeraden de WAF- en beheerde regels te gebruiken voor zowel statische als dynamische toepassingen.
U kunt de Front Door WAF ook gebruiken om snelheidsbeperking en geofiltering uit te voeren als u deze mogelijkheden nodig hebt.
Tolerantie
Front Door is een maximaal beschikbare service en vanwege de wereldwijd gedistribueerde architectuur is het bestand bestand tegen fouten van één Azure-regio en -pops.
Door de Front Door-cache te gebruiken, vermindert u de belasting van uw opslagaccount. Als uw opslagaccount niet beschikbaar is, kan Front Door mogelijk antwoorden in de cache blijven verwerken totdat uw toepassing wordt hersteld.
U kunt de tolerantie van de algehele oplossing verder verbeteren door rekening te houden met de tolerantie van het opslagaccount. Zie Redundantie in Azure Storage voor meer informatie. U kunt ook meerdere opslagaccounts implementeren en meerdere origins configureren in uw Front Door-oorsprongsgroep en failover tussen de oorsprongen configureren door de prioriteit van elke oorsprong te configureren. Zie Origins en origin-groepen in Azure Front Door voor meer informatie.
Kostenoptimalisatie
Caching kan helpen om de kosten voor het leveren van statische inhoud te verlagen. Front Door's PoPs slaan kopieën van antwoorden op en kunnen deze antwoorden in de cache leveren voor eventuele volgende aanvragen. Caching vermindert de belasting van de aanvraag voor de oorsprong. In grootschalige statische inhoudsoplossingen, met name bij het leveren van grote bestanden, kan caching de verkeerskosten aanzienlijk verlagen.
Als u Private Link in deze oplossing wilt gebruiken, moet u de Premium-laag van Front Door implementeren. U kunt de standard-laag gebruiken als u verkeer dat rechtstreeks naar uw opslagaccount gaat, niet hoeft te blokkeren. Zie Origin-beveiliging voor meer informatie.
Dit scenario implementeren
Als u dit scenario wilt implementeren met bicep- of JSON ARM-sjablonen, raadpleegt u deze quickstart.
Als u dit scenario wilt implementeren met behulp van Terraform, raadpleegt u deze quickstart.
Volgende stappen
Meer informatie over het maken van een Front Door-profiel.
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor