Quickstart: Een Azure Front Door Standard/Premium maken - Azure CLI

In deze quickstart leert u hoe u een Azure Front Door Standard/Premium-profiel maakt met behulp van Azure CLI. U maakt dit profiel met behulp van twee Web Apps als uw oorsprong en voegt een WAF-beveiligingsbeleid toe. Vervolgens kunt u de connectiviteit met uw Web Apps controleren met behulp van de hostnaam van het Azure Front Door-eindpunt.

Als u geen Azure-abonnement hebt, kunt u een gratis Azure-account maken voordat u begint.

Vereisten

Een resourcegroep maken

In Azure kunt u verwante resources toewijzen aan een resourcegroep. U kunt een bestaande resourcegroep gebruiken of een nieuwe maken.

Voer az group create uit om resourcegroepen te maken.

az group create --name myRGFD --location centralus

Een Azure Front Door-profiel maken

Voer az afd profile create uit om een Azure Front Door-profiel te maken.

Notitie

Als u Azure Front Door Standard wilt implementeren in plaats van Premium, vervangt u de waarde van de SKU-parameter door Standard_AzureFrontDoor. U kunt geen beheerde regels met WAF-beleid implementeren als u Standard SKU kiest. Bekijk azure Front Door-laagvergelijking voor een gedetailleerde vergelijking.

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

Twee instanties van een web-app maken

Voor deze zelfstudie hebt u twee exemplaren van een webtoepassing nodig die worden uitgevoerd in verschillende Azure-regio's. Beide webtoepassingsinstanties worden in de modus Actief/actief uitgevoerd, dus verkeer kan in beide instanties worden uitgevoerd.

Als u nog geen web-app hebt, voert u het volgende script uit om twee voorbeelden van web-apps in te stellen.

App Service-abonnementen maken

Voordat u de web-apps kunt maken, hebt u twee App Service-abonnementen nodig, één in VS - centraal en de tweede in VS - oost.

Voer az appservice plan create uit om uw app service-plannen te maken.

az appservice plan create \
    --name myAppServicePlanCentralUS \
    --resource-group myRGFD \
    --location centralus
az appservice plan create \
    --name myAppServicePlanEastUS \
    --resource-group myRGFD \
    --location eastus

Web-apps maken

Voer az webapp create uit om een web-app te maken in elk van de App Service-plannen in de vorige stap. Web-app-namen moeten wereldwijd uniek zijn.

az webapp create \
    --name WebAppContoso-01 \
    --resource-group myRGFD \
    --plan myAppServicePlanCentralUS
az webapp create \
    --name WebAppContoso-02 \
    --resource-group myRGFD \
    --plan myAppServicePlanEastUS

Noteer de standaardhostnaam van elke web-app, zodat u de backend-adressen kunt definiëren wanneer u de Front Door in de volgende stap implementeert.

Een Azure Front Door maken

Een Front Door-profiel maken

Voer az afd profile create uit om een Azure Front Door-profiel te maken.

Notitie

Als u een Azure Front Door Standard wilt implementeren in plaats van Premium, vervangt u de waarde voor de SKU-parameter door Standard_AzureFrontDoor. U kunt geen beheerde regels met WAF-beleid implementeren als u Standard SKU kiest. Bekijk azure Front Door-laagvergelijking voor een gedetailleerde vergelijking.

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

Een eindpunt toevoegen

Voer az afd endpoint create uit om een eindpunt in uw profiel te maken. U kunt meerdere eindpunten in uw profiel maken nadat u de maakervaring hebt afgerond.

az afd endpoint create \
    --resource-group myRGFD \
    --endpoint-name contosofrontend \
    --profile-name contosoafd \
    --enabled-state Enabled

Een oorspronggroep maken

Voer az afd origin-group create uit om een origin-groep te maken die uw twee web-apps bevat.

az afd origin-group create \
    --resource-group myRGFD \
    --origin-group-name og \
    --profile-name contosoafd \
    --probe-request-type GET \
    --probe-protocol Http \
    --probe-interval-in-seconds 60 \
    --probe-path / \
    --sample-size 4 \
    --successful-samples-required 3 \
    --additional-latency-in-milliseconds 50

Een origin toevoegen aan de groep

Voer az afd origin create uit om een origin toe te voegen aan uw origin-groep.

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-01.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso1 \
    --origin-host-header webappcontoso-01.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

Herhaal deze stap en voeg uw tweede oorsprong toe.

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-02.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso2 \
    --origin-host-header webappcontoso-02.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

Een route toevoegen

Voer az afd route create uit om uw eindpunt toe te wijzen aan de oorspronkelijke groep. Met deze route worden aanvragen van het eindpunt doorgestuurd naar uw oorspronkelijke groep.

az afd route create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --endpoint-name contosofrontend \
    --forwarding-protocol MatchRequest \
    --route-name route \
    --https-redirect Enabled \
    --origin-group og \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled 

Uw Front Door-profiel wordt volledig functioneel met de laatste stap.

Een nieuw beveiligingsbeleid maken

Een WAF-beleid maken

Voer az network front-door waf-policy create uit om een nieuw WAF-beleid te maken voor uw Front Door. In dit voorbeeld wordt een beleid gemaakt dat is ingeschakeld en in de preventiemodus staat.

Notitie

Beheerde regels werken alleen met Front Door Premium SKU. U kunt kiezen voor standard-SKU hieronder om aangepaste regels te gebruiken.

az network front-door waf-policy create \
    --name contosoWAF \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor \
    --disabled false \
    --mode Prevention

Notitie

Als u de modus selecteert Detection , blokkeert uw WAF geen aanvragen.

Beheerde regels toewijzen aan het WAF-beleid

Voer az network front-door waf-policy managed-rules add uit om beheerde regels toe te voegen aan uw WAF-beleid. In dit voorbeeld worden Microsoft_DefaultRuleSet_1.2 en Microsoft_BotManagerRuleSet_1.0 aan uw beleid toegevoegd.

az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_DefaultRuleSet \
    --version 1.2 
az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_BotManagerRuleSet \
    --version 1.0

Het beveiligingsbeleid maken

Voer az afd security-policy create uit om uw WAF-beleid toe te passen op het standaarddomein van het eindpunt.

Notitie

Vervang mysubscription door uw Azure-abonnements-id in de onderstaande domeinen en waf-policy-parameters. Voer az account subscription list uit om de details van de abonnements-id op te halen.

az afd security-policy create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --security-policy-name contososecurity \
    --domains /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Cdn/profiles/contosoafd/afdEndpoints/contosofrontend \
    --waf-policy /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/contosoWAF

De Front Door testen

Wanneer u het Azure Front Door Standard/Premium-profiel maakt, duurt het enkele minuten voordat de configuratie wereldwijd is geïmplementeerd. Zodra dit is voltooid, hebt u toegang tot de front-endhost die u hebt gemaakt.

Voer az afd endpoint show uit om de hostnaam van het Front Door-eindpunt op te halen.

az afd endpoint show --resource-group myRGFD --profile-name contosoafd --endpoint-name contosofrontend

Ga in een browser naar de hostnaam van het eindpunt: contosofrontend-<hash>.z01.azurefd.net. Uw aanvraag wordt automatisch doorgestuurd naar de minst latente web-app in de oorspronkelijke groep.

Schermopname van het bericht: Uw web-app wordt uitgevoerd en wacht op uw inhoud

Voor het testen van directe globale failover gebruiken we de volgende stappen:

  1. Open een browser, zoals hierboven beschreven, en ga naar de hostnaam van het eindpunt: contosofrontend-<hash>.z01.azurefd.net.

  2. Stop een van de Web Apps door az webapp stop uit te voeren

    az webapp stop --name WebAppContoso-01 --resource-group myRGFD
    
  3. Vernieuw de browser. Als het goed is, ziet u dezelfde informatiepagina.

Tip

Deze acties worden met enige vertraging uitgevoerd. Mogelijk moet u de pagina vernieuwen.

  1. Zoek de andere web-app en stop ook deze app.

    az webapp stop --name WebAppContoso-02 --resource-group myRGFD
    
  2. Vernieuw de browser. Als het goed is, ziet u nu een foutbericht.

    Schermopname van het bericht: Beide exemplaren van de web-app zijn gestopt

  3. Start een van de Web Apps opnieuw door az webapp start uit te voeren. Vernieuw uw browser en de pagina wordt weer normaal.

    az webapp start --name WebAppContoso-01 --resource-group myRGFD
    

Resources opschonen

Als u de resources voor de Front Door niet nodig hebt, verwijdert u beide resourcegroepen. Als u de resourcegroepen verwijdert, worden ook de Front Door en alle bijbehorende resources verwijderd.

Voer az group delete uit:

az group delete --name myRGFD

Volgende stappen

Ga verder naar het volgende artikel voor instructies voor het toevoegen van een aangepast domein aan uw Front Door.