Quickstart: Een Azure Front Door Standard/Premium maken - Azure CLI

In deze quickstart leert u hoe u een Azure Front Door Standard-/Premium-profiel maakt met behulp van Azure CLI. U maakt dit profiel met twee Web Apps als oorsprong en voegt een WAF-beveiligingsbeleid toe. Vervolgens kunt u de connectiviteit met uw web-apps controleren met behulp van de hostnaam van het Azure Front Door-eindpunt.

Diagram of Front Door deployment environment using the Azure CLI.

Notitie

Voor webworkloads raden we u ten zeerste aan azure DDoS-beveiliging en een webtoepassingsfirewall te gebruiken om te beschermen tegen opkomende DDoS-aanvallen. Een andere optie is om Azure Front Door samen met een webtoepassingsfirewall te gebruiken. Azure Front Door biedt beveiliging op platformniveau tegen DDoS-aanvallen op netwerkniveau. Zie de beveiligingsbasislijn voor Azure-services voor meer informatie.

Als u geen Azure-abonnement hebt, kunt u een gratis Azure-account maken voordat u begint.

Vereisten

Een brongroep maken

In Azure kunt u verwante resources toewijzen aan een resourcegroep. U kunt een bestaande resourcegroep gebruiken of een nieuwe maken.

Voer az group create uit om resourcegroepen te maken.

az group create --name myRGFD --location centralus

Een Azure Front Door-profiel maken

In deze stap maakt u het Azure Front Door-profiel dat uw twee App-services als oorsprong gebruiken.

Voer az afd profile create uit om een Azure Front Door-profiel te maken.

Notitie

Als u Azure Front Door Standard wilt implementeren in plaats van Premium, vervangt u de waarde van de SKU-parameter door Standard_AzureFrontDoor. Als u Standard SKU kiest, kunt u geen beheerde regels implementeren met WAF-beleid. Bekijk de vergelijking van de Azure Front Door-laag voor gedetailleerde vergelijkingen.

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

Twee instanties van een web-app maken

In deze stap maakt u twee web-app-exemplaren die in verschillende Azure-regio's worden uitgevoerd voor deze zelfstudie. Beide webtoepassingsinstanties worden in de modus Actief/actief uitgevoerd, dus verkeer kan in beide instanties worden uitgevoerd. Deze configuratie is anders dan de configuratie Actief/stand-by, waarbij één van de instanties als failover fungeert.

App Service-abonnementen maken

Voordat u de web-apps kunt maken, hebt u twee App Service-abonnementen nodig, één in VS - centraal en de tweede in VS - oost.

Voer az appservice plan create uit om uw App Service-plannen te maken.

az appservice plan create \
    --name myAppServicePlanCentralUS \
    --resource-group myRGFD \
    --location centralus
az appservice plan create \
    --name myAppServicePlanEastUS \
    --resource-group myRGFD \
    --location eastus

Web-apps maken

Zodra de App Service-plannen zijn gemaakt, voert u az webapp create uit om een web-app te maken in elk van de App Service-plannen in de vorige stap. Web-app-namen moeten wereldwijd uniek zijn.

az webapp create \
    --name WebAppContoso-01 \
    --resource-group myRGFD \
    --plan myAppServicePlanCentralUS
az webapp create \
    --name WebAppContoso-02 \
    --resource-group myRGFD \
    --plan myAppServicePlanEastUS

Noteer de standaardhostnaam van elke web-app, zodat u de backend-adressen kunt definiëren wanneer u de Front Door in de volgende stap implementeert.

Een Azure Front Door maken

Een Front Door-profiel maken

Voer az afd profile create uit om een Azure Front Door-profiel te maken.

Notitie

Als u een Azure Front Door Standard wilt implementeren in plaats van Premium, vervangt u de waarde voor de SKU-parameter door Standard_AzureFrontDoor. Als u Standard SKU kiest, kunt u geen beheerde regels implementeren met WAF-beleid. Bekijk de vergelijking van de Azure Front Door-laag voor gedetailleerde vergelijkingen.

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

Een eindpunt toevoegen

In deze stap maakt u een eindpunt in uw Front Door-profiel. In Front Door Standard/Premium is een eindpunt een logische groepering van een of meer routes die zijn gekoppeld aan domeinnamen. Aan elk eindpunt wordt een domeinnaam toegewezen door Front Door en u kunt eindpunten koppelen aan aangepaste domeinen met behulp van routes. Front Door-profielen kunnen ook meerdere eindpunten bevatten.

Voer az afd endpoint create uit om een eindpunt in uw profiel te maken.

az afd endpoint create \
    --resource-group myRGFD \
    --endpoint-name contosofrontend \
    --profile-name contosoafd \
    --enabled-state Enabled

Zie Eindpunten in Azure Front Door voor meer informatie over eindpunten in Front Door.

Een oorspronkelijke groep maken

Maak een origin-groep die het verkeer en de verwachte antwoorden voor uw app-exemplaren definieert. Origin-groepen definiëren ook hoe oorsprongen worden geëvalueerd door statustests, die u in deze stap kunt definiëren.

Voer az afd origin-group create uit om een origin-groep te maken die uw twee web-apps bevat.

az afd origin-group create \
    --resource-group myRGFD \
    --origin-group-name og \
    --profile-name contosoafd \
    --probe-request-type GET \
    --probe-protocol Http \
    --probe-interval-in-seconds 60 \
    --probe-path / \
    --sample-size 4 \
    --successful-samples-required 3 \
    --additional-latency-in-milliseconds 50

Een oorsprong toevoegen aan de groep

Voeg beide app-exemplaren toe die eerder zijn gemaakt als origins aan uw nieuwe origin-groep. Origins in Front Door verwijzen naar toepassingen waaruit Front Door inhoud ophaalt wanneer caching niet is ingeschakeld of wanneer een cache wordt gemist.

Voer az afd origin create uit om uw eerste app-exemplaar toe te voegen als een origin aan uw origin-groep.

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-01.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso1 \
    --origin-host-header webappcontoso-01.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

Herhaal deze stap en voeg uw tweede app-exemplaren toe als een origin aan uw origin-groep.

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-02.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso2 \
    --origin-host-header webappcontoso-02.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

Zie Origins en Origin Groups in Azure Front Door voor meer informatie over oorsprongs-, oorsprongsgroepen en statuscontroles

Een route toevoegen

Voeg een route toe om het eindpunt dat u eerder hebt gemaakt, toe te wijzen aan de oorspronkelijke groep. Met deze route worden aanvragen van het eindpunt doorgestuurd naar uw oorspronkelijke groep.

Voer az afd route create uit om uw eindpunt toe te wijzen aan de oorspronkelijke groep.

az afd route create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --endpoint-name contosofrontend \
    --forwarding-protocol MatchRequest \
    --route-name route \
    --https-redirect Enabled \
    --origin-group og \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled 

Zie Verkeersrouteringsmethoden voor oorsprong voor meer informatie over routes in Azure Front Door.

Een nieuw beveiligingsbeleid maken

Azure Web Application Firewall (WAF) in Front Door biedt gecentraliseerde beveiliging voor uw webtoepassingen, waardoor deze worden beschermd tegen veelvoorkomende aanvallen en beveiligingsproblemen.

In deze zelfstudie maakt u een WAF-beleid waarmee twee beheerde regels worden toegevoegd. U kunt ook WAF-beleid maken met aangepaste regels

Een WAF-beleid maken

Voer az network front-door waf-policy create uit om een nieuw WAF-beleid voor uw Front Door te maken. In dit voorbeeld wordt een beleid gemaakt dat is ingeschakeld en zich in de preventiemodus bevindt.

Notitie

Beheerde regels werken alleen met de Premium-laag van Front Door. U kunt kiezen voor standard-laag om aangepaste onlu-regels te gebruiken.

az network front-door waf-policy create \
    --name contosoWAF \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor \
    --disabled false \
    --mode Prevention

Notitie

Als u de modus selecteert Detection , blokkeert uw WAF geen aanvragen.

Zie Beleidsinstellingen voor Web Application Firewall in Azure Front Door voor meer informatie over WAF-beleidsinstellingen voor Front Door.

Beheerde regels toewijzen aan het WAF-beleid

Door Azure beheerde regelsets bieden een eenvoudige manier om uw toepassing te beschermen tegen veelvoorkomende beveiligingsrisico's.

Voer az network front-door waf-policy managed-rules add to add managed rules to your WAF Policy. In dit voorbeeld worden Microsoft_DefaultRuleSet_2.1 en Microsoft_BotManagerRuleSet_1.0 aan uw beleid toegevoegd.

az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_DefaultRuleSet \
    --action Block \
    --version 2.1 
az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_BotManagerRuleSet \
    --version 1.0

Zie DrS-regelgroepen en -regels voor Web Application Firewall voor meer informatie over beheerde regels in Front Door.

Het beveiligingsbeleid maken

Pas deze twee WAF-beleidsregels nu toe op uw Front Door door door een beveiligingsbeleid te maken. Met deze instelling worden de door Azure beheerde regels toegepast op het eindpunt dat u eerder hebt gedefinieerd.

Voer az afd security-policy create uit om uw WAF-beleid toe te passen op het standaarddomein van het eindpunt.

Notitie

Vervang 'mysubscription' door uw Azure-abonnements-id in de domeinen en waf-policy-parameters. Voer az account subscription list uit om de details van de abonnements-id op te halen.

az afd security-policy create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --security-policy-name contososecurity \
    --domains /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Cdn/profiles/contosoafd/afdEndpoints/contosofrontend \
    --waf-policy /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/contosoWAF

De Front Door testen

Wanneer u het Azure Front Door Standard-/Premium-profiel maakt, duurt het enkele minuten voordat de configuratie wereldwijd is geïmplementeerd. Zodra dit is voltooid, hebt u toegang tot de front-endhost die u hebt gemaakt.

Voer az afd endpoint show uit om de hostnaam van het Front Door-eindpunt op te halen.

az afd endpoint show --resource-group myRGFD --profile-name contosoafd --endpoint-name contosofrontend

Ga in een browser naar de hostnaam van het eindpunt: contosofrontend-<hash>.z01.azurefd.net. Uw aanvraag wordt automatisch doorgestuurd naar de minst latente web-app in de oorspronkelijke groep.

Screenshot of the message: Your web app is running and waiting for your content

Als u een directe globale failover wilt testen, gebruiken we de volgende stappen:

  1. Open een browser en ga naar de hostnaam van het eindpunt: contosofrontend-<hash>.z01.azurefd.net.

  2. Stop een van de Web Apps door az webapp stop uit te voeren

    az webapp stop --name WebAppContoso-01 --resource-group myRGFD
    
  3. Vernieuw de browser. Als het goed is, ziet u dezelfde informatiepagina.

Tip

Deze acties worden met enige vertraging uitgevoerd. Mogelijk moet u de pagina vernieuwen.

  1. Zoek de andere web-app en stop ook deze app.

    az webapp stop --name WebAppContoso-02 --resource-group myRGFD
    
  2. Vernieuw de browser. Als het goed is, ziet u nu een foutbericht.

    Screenshot of the message: Both instances of the web app stopped

  3. Start een van de Web Apps opnieuw door az webapp start uit te voeren. Vernieuw uw browser en de pagina gaat terug naar normaal.

    az webapp start --name WebAppContoso-01 --resource-group myRGFD
    

Resources opschonen

Als u de resources voor de Front Door niet nodig hebt, verwijdert u beide resourcegroepen. Als u de resourcegroepen verwijdert, worden ook de Front Door en alle bijbehorende resources verwijderd.

Voer az group delete uit:

az group delete --name myRGFD

Volgende stappen

Ga verder naar het volgende artikel voor instructies voor het toevoegen van een aangepast domein aan uw Front Door.