Quickstart: Een Azure Front Door Standard/Premium maken - Azure CLI
In deze quickstart leert u hoe u een Azure Front Door Standard-/Premium-profiel maakt met behulp van Azure CLI. U maakt dit profiel met twee Web Apps als oorsprong en voegt een WAF-beveiligingsbeleid toe. Vervolgens kunt u de connectiviteit met uw web-apps controleren met behulp van de hostnaam van het Azure Front Door-eindpunt.
Notitie
Voor webworkloads raden we u ten zeerste aan azure DDoS-beveiliging en een webtoepassingsfirewall te gebruiken om te beschermen tegen opkomende DDoS-aanvallen. Een andere optie is om Azure Front Door samen met een webtoepassingsfirewall te gebruiken. Azure Front Door biedt beveiliging op platformniveau tegen DDoS-aanvallen op netwerkniveau. Zie de beveiligingsbasislijn voor Azure-services voor meer informatie.
Als u geen Azure-abonnement hebt, kunt u een gratis Azure-account maken voordat u begint.
Vereisten
Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.
Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.
Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.
Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.
Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.
Een brongroep maken
In Azure kunt u verwante resources toewijzen aan een resourcegroep. U kunt een bestaande resourcegroep gebruiken of een nieuwe maken.
Voer az group create uit om resourcegroepen te maken.
az group create --name myRGFD --location centralus
Een Azure Front Door-profiel maken
In deze stap maakt u het Azure Front Door-profiel dat uw twee App-services als oorsprong gebruiken.
Voer az afd profile create uit om een Azure Front Door-profiel te maken.
Notitie
Als u Azure Front Door Standard wilt implementeren in plaats van Premium, vervangt u de waarde van de SKU-parameter door Standard_AzureFrontDoor. Als u Standard SKU kiest, kunt u geen beheerde regels implementeren met WAF-beleid. Bekijk de vergelijking van de Azure Front Door-laag voor gedetailleerde vergelijkingen.
az afd profile create \
--profile-name contosoafd \
--resource-group myRGFD \
--sku Premium_AzureFrontDoor
Twee instanties van een web-app maken
In deze stap maakt u twee web-app-exemplaren die in verschillende Azure-regio's worden uitgevoerd voor deze zelfstudie. Beide webtoepassingsinstanties worden in de modus Actief/actief uitgevoerd, dus verkeer kan in beide instanties worden uitgevoerd. Deze configuratie is anders dan de configuratie Actief/stand-by, waarbij één van de instanties als failover fungeert.
App Service-abonnementen maken
Voordat u de web-apps kunt maken, hebt u twee App Service-abonnementen nodig, één in VS - centraal en de tweede in VS - oost.
Voer az appservice plan create uit om uw App Service-plannen te maken.
az appservice plan create \
--name myAppServicePlanCentralUS \
--resource-group myRGFD \
--location centralus
az appservice plan create \
--name myAppServicePlanEastUS \
--resource-group myRGFD \
--location eastus
Web-apps maken
Zodra de App Service-plannen zijn gemaakt, voert u az webapp create uit om een web-app te maken in elk van de App Service-plannen in de vorige stap. Web-app-namen moeten wereldwijd uniek zijn.
az webapp create \
--name WebAppContoso-01 \
--resource-group myRGFD \
--plan myAppServicePlanCentralUS
az webapp create \
--name WebAppContoso-02 \
--resource-group myRGFD \
--plan myAppServicePlanEastUS
Noteer de standaardhostnaam van elke web-app, zodat u de backend-adressen kunt definiëren wanneer u de Front Door in de volgende stap implementeert.
Een Azure Front Door maken
Een Front Door-profiel maken
Voer az afd profile create uit om een Azure Front Door-profiel te maken.
Notitie
Als u een Azure Front Door Standard wilt implementeren in plaats van Premium, vervangt u de waarde voor de SKU-parameter door Standard_AzureFrontDoor
. Als u Standard SKU kiest, kunt u geen beheerde regels implementeren met WAF-beleid. Bekijk de vergelijking van de Azure Front Door-laag voor gedetailleerde vergelijkingen.
az afd profile create \
--profile-name contosoafd \
--resource-group myRGFD \
--sku Premium_AzureFrontDoor
Een eindpunt toevoegen
In deze stap maakt u een eindpunt in uw Front Door-profiel. In Front Door Standard/Premium is een eindpunt een logische groepering van een of meer routes die zijn gekoppeld aan domeinnamen. Aan elk eindpunt wordt een domeinnaam toegewezen door Front Door en u kunt eindpunten koppelen aan aangepaste domeinen met behulp van routes. Front Door-profielen kunnen ook meerdere eindpunten bevatten.
Voer az afd endpoint create uit om een eindpunt in uw profiel te maken.
az afd endpoint create \
--resource-group myRGFD \
--endpoint-name contosofrontend \
--profile-name contosoafd \
--enabled-state Enabled
Zie Eindpunten in Azure Front Door voor meer informatie over eindpunten in Front Door.
Een oorspronkelijke groep maken
Maak een origin-groep die het verkeer en de verwachte antwoorden voor uw app-exemplaren definieert. Origin-groepen definiëren ook hoe oorsprongen worden geëvalueerd door statustests, die u in deze stap kunt definiëren.
Voer az afd origin-group create uit om een origin-groep te maken die uw twee web-apps bevat.
az afd origin-group create \
--resource-group myRGFD \
--origin-group-name og \
--profile-name contosoafd \
--probe-request-type GET \
--probe-protocol Http \
--probe-interval-in-seconds 60 \
--probe-path / \
--sample-size 4 \
--successful-samples-required 3 \
--additional-latency-in-milliseconds 50
Een oorsprong toevoegen aan de groep
Voeg beide app-exemplaren toe die eerder zijn gemaakt als origins aan uw nieuwe origin-groep. Origins in Front Door verwijzen naar toepassingen waaruit Front Door inhoud ophaalt wanneer caching niet is ingeschakeld of wanneer een cache wordt gemist.
Voer az afd origin create uit om uw eerste app-exemplaar toe te voegen als een origin aan uw origin-groep.
az afd origin create \
--resource-group myRGFD \
--host-name webappcontoso-01.azurewebsites.net \
--profile-name contosoafd \
--origin-group-name og \
--origin-name contoso1 \
--origin-host-header webappcontoso-01.azurewebsites.net \
--priority 1 \
--weight 1000 \
--enabled-state Enabled \
--http-port 80 \
--https-port 443
Herhaal deze stap en voeg uw tweede app-exemplaren toe als een origin aan uw origin-groep.
az afd origin create \
--resource-group myRGFD \
--host-name webappcontoso-02.azurewebsites.net \
--profile-name contosoafd \
--origin-group-name og \
--origin-name contoso2 \
--origin-host-header webappcontoso-02.azurewebsites.net \
--priority 1 \
--weight 1000 \
--enabled-state Enabled \
--http-port 80 \
--https-port 443
Zie Origins en Origin Groups in Azure Front Door voor meer informatie over oorsprongs-, oorsprongsgroepen en statuscontroles
Een route toevoegen
Voeg een route toe om het eindpunt dat u eerder hebt gemaakt, toe te wijzen aan de oorspronkelijke groep. Met deze route worden aanvragen van het eindpunt doorgestuurd naar uw oorspronkelijke groep.
Voer az afd route create uit om uw eindpunt toe te wijzen aan de oorspronkelijke groep.
az afd route create \
--resource-group myRGFD \
--profile-name contosoafd \
--endpoint-name contosofrontend \
--forwarding-protocol MatchRequest \
--route-name route \
--https-redirect Enabled \
--origin-group og \
--supported-protocols Http Https \
--link-to-default-domain Enabled
Zie Verkeersrouteringsmethoden voor oorsprong voor meer informatie over routes in Azure Front Door.
Een nieuw beveiligingsbeleid maken
Azure Web Application Firewall (WAF) in Front Door biedt gecentraliseerde beveiliging voor uw webtoepassingen, waardoor deze worden beschermd tegen veelvoorkomende aanvallen en beveiligingsproblemen.
In deze zelfstudie maakt u een WAF-beleid waarmee twee beheerde regels worden toegevoegd. U kunt ook WAF-beleid maken met aangepaste regels
Een WAF-beleid maken
Voer az network front-door waf-policy create uit om een nieuw WAF-beleid voor uw Front Door te maken. In dit voorbeeld wordt een beleid gemaakt dat is ingeschakeld en zich in de preventiemodus bevindt.
Notitie
Beheerde regels werken alleen met de Premium-laag van Front Door. U kunt kiezen voor standard-laag om aangepaste onlu-regels te gebruiken.
az network front-door waf-policy create \
--name contosoWAF \
--resource-group myRGFD \
--sku Premium_AzureFrontDoor \
--disabled false \
--mode Prevention
Notitie
Als u de modus selecteert Detection
, blokkeert uw WAF geen aanvragen.
Beheerde regels toewijzen aan het WAF-beleid
Door Azure beheerde regelsets bieden een eenvoudige manier om uw toepassing te beschermen tegen veelvoorkomende beveiligingsrisico's.
Voer az network front-door waf-policy managed-rules add to add managed rules to your WAF Policy. In dit voorbeeld worden Microsoft_DefaultRuleSet_2.1 en Microsoft_BotManagerRuleSet_1.0 aan uw beleid toegevoegd.
az network front-door waf-policy managed-rules add \
--policy-name contosoWAF \
--resource-group myRGFD \
--type Microsoft_DefaultRuleSet \
--action Block \
--version 2.1
az network front-door waf-policy managed-rules add \
--policy-name contosoWAF \
--resource-group myRGFD \
--type Microsoft_BotManagerRuleSet \
--version 1.0
Zie DrS-regelgroepen en -regels voor Web Application Firewall voor meer informatie over beheerde regels in Front Door.
Het beveiligingsbeleid maken
Pas deze twee WAF-beleidsregels nu toe op uw Front Door door door een beveiligingsbeleid te maken. Met deze instelling worden de door Azure beheerde regels toegepast op het eindpunt dat u eerder hebt gedefinieerd.
Voer az afd security-policy create uit om uw WAF-beleid toe te passen op het standaarddomein van het eindpunt.
Notitie
Vervang 'mysubscription' door uw Azure-abonnements-id in de domeinen en waf-policy-parameters. Voer az account subscription list uit om de details van de abonnements-id op te halen.
az afd security-policy create \
--resource-group myRGFD \
--profile-name contosoafd \
--security-policy-name contososecurity \
--domains /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Cdn/profiles/contosoafd/afdEndpoints/contosofrontend \
--waf-policy /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/contosoWAF
De Front Door testen
Wanneer u het Azure Front Door Standard-/Premium-profiel maakt, duurt het enkele minuten voordat de configuratie wereldwijd is geïmplementeerd. Zodra dit is voltooid, hebt u toegang tot de front-endhost die u hebt gemaakt.
Voer az afd endpoint show uit om de hostnaam van het Front Door-eindpunt op te halen.
az afd endpoint show --resource-group myRGFD --profile-name contosoafd --endpoint-name contosofrontend
Ga in een browser naar de hostnaam van het eindpunt: contosofrontend-<hash>.z01.azurefd.net
. Uw aanvraag wordt automatisch doorgestuurd naar de minst latente web-app in de oorspronkelijke groep.
Als u een directe globale failover wilt testen, gebruiken we de volgende stappen:
Open een browser en ga naar de hostnaam van het eindpunt:
contosofrontend-<hash>.z01.azurefd.net
.Stop een van de Web Apps door az webapp stop uit te voeren
az webapp stop --name WebAppContoso-01 --resource-group myRGFD
Vernieuw de browser. Als het goed is, ziet u dezelfde informatiepagina.
Tip
Deze acties worden met enige vertraging uitgevoerd. Mogelijk moet u de pagina vernieuwen.
Zoek de andere web-app en stop ook deze app.
az webapp stop --name WebAppContoso-02 --resource-group myRGFD
Vernieuw de browser. Als het goed is, ziet u nu een foutbericht.
Start een van de Web Apps opnieuw door az webapp start uit te voeren. Vernieuw uw browser en de pagina gaat terug naar normaal.
az webapp start --name WebAppContoso-01 --resource-group myRGFD
Resources opschonen
Als u de resources voor de Front Door niet nodig hebt, verwijdert u beide resourcegroepen. Als u de resourcegroepen verwijdert, worden ook de Front Door en alle bijbehorende resources verwijderd.
Voer az group delete uit:
az group delete --name myRGFD
Volgende stappen
Ga verder naar het volgende artikel voor instructies voor het toevoegen van een aangepast domein aan uw Front Door.