Korzystanie z usługi Azure Front Door w rozwiązaniu wielodostępnym

Usługa Azure Front Door to nowoczesna sieć dostarczania zawartości w chmurze (CDN), która zapewnia szybki, niezawodny dostęp między statyczną i dynamiczną zawartością internetową użytkowników i aplikacji na całym świecie. W tym artykule opisano niektóre funkcje usługi Azure Front Door, które są przydatne podczas pracy w systemach wielodostępnych. Zawiera również inne powiązane wskazówki i przykłady.

W przypadku korzystania z usługi Azure Front Door jako części rozwiązania wielodostępnego należy podjąć pewne decyzje na podstawie projektu i wymagań rozwiązania. Rozważmy następujący czynniki:

• Należy wziąć pod uwagę liczbę aktualnie posiadanych najemców oraz liczbę najemców, których spodziewasz się w przyszłości.

• Ustal, czy udostępniasz warstwę aplikacji wielu dzierżawcom, wdrażasz wiele wystąpień aplikacji z jedną dzierżawą, czy wdrażasz oddzielne sygnatury wdrożenia współużytkowane przez wiele dzierżaw.

• Określ, czy dzierżawcy chcą używać własnych nazw domen.

• Określ, czy chcesz używać domen wieloznacznych.

• Oceń, czy chcesz użyć własnych certyfikatów protokołu Transport Layer Security (TLS), czy też firma Microsoft będzie zarządzać certyfikatami TLS.

• Weź pod uwagę przydziały i limity mające zastosowanie do Azure Front Door. Zidentyfikuj, które limity możesz napotkać, gdy twoje rozwiązanie się rozwija. Jeśli przewidujesz zbliżanie się tych limitów, rozważ użycie wielu profilów usługi Azure Front Door lub dostosowanie sposobu używania usługi Azure Front Door do pozostania w dopuszczalnych ograniczeniach. SKU Premium ma wyższe limity niż SKU Standardowa.

• Określ, czy Ty lub Twoi dzierżawcy macie wymagania dotyczące filtrowania adresów IP, blokowania geograficznego lub dostosowywania reguł zapory aplikacji internetowej.

• Sprawdź, czy wszystkie serwery aplikacyjne najemców są publicznie dostępne w Internecie.

Funkcje usługi Azure Front Door, które obsługują wielodostępność

W tej sekcji opisano kilka kluczowych funkcji usługi Azure Front Door, które są przydatne w przypadku rozwiązań wielodostępnych. Opisano w nim, jak usługa Azure Front Door może pomóc w konfigurowaniu domen niestandardowych, w tym informacji o domenach wieloznacznych i certyfikatach TLS. Zawiera również podsumowanie sposobu używania funkcji routingu usługi Azure Front Door do obsługi wielodostępności.

Domeny niestandardowe

Usługa Azure Front Door udostępnia domyślną nazwę hosta dla każdego utworzonego punktu końcowego, takiego jak contoso.z01.azurefd.net. Jednak w przypadku większości rozwiązań należy skojarzyć własną nazwę domeny z punktem końcowym usługi Azure Front Door. Niestandardowe nazwy domen umożliwiają używanie własnego znakowania i konfigurowanie routingu na podstawie nazwy hosta uwzględnionej w żądaniu klienta.

W rozwiązaniu wielodostępnym można użyć nazw domen lub subdomen specyficznych dla dzierżawy i skonfigurować usługę Azure Front Door, aby kierować ruch dzierżawy do odpowiedniej grupy źródłowej dla obciążenia roboczego tej dzierżawy. Można na przykład skonfigurować niestandardową nazwę domeny, taką jak tenant1.app.contoso.com. Można skonfigurować wiele domen niestandardowych w jednym profilu usługi Azure Front Door.

Aby uzyskać więcej informacji, zobacz Dodawanie domeny niestandardowej do usługi Azure Front Door.

Domeny wieloznaczne

Domeny wieloznaczne upraszczają konfigurację rekordów systemu nazw domen (DNS) oraz kierowanie ruchu w usłudze Azure Front Door, gdy używasz współużytkowanej głównej domeny i specyficznych dla najemcy domen podrzędnych. Załóżmy na przykład, że dzierżawcy uzyskują dostęp do swoich aplikacji przy użyciu domen podrzędnych, takich jak tenant1.app.contoso.com i tenant2.app.contoso.com. Domenę z symbolem wieloznacznym można skonfigurować *.app.contoso.com, zamiast konfigurować każdą domenę przypisaną dla każdej dzierżawy pojedynczo.

Usługa Azure Front Door obsługuje tworzenie domen niestandardowych korzystających z symboli wieloznacznych. Następnie można skonfigurować trasę dla żądań, które docierają do domeny z symbolami wieloznacznymi. Przy dodawaniu nowego lokatora nie trzeba ponownie konfigurować serwerów DNS, wystawiać nowych certyfikatów TLS ani aktualizować konfiguracji profilu usługi Azure Front Door.

Domeny z symbolami wieloznacznymi działają prawidłowo, jeśli cały ruch jest wysyłany do pojedynczej grupy źródeł. Jeśli jednak masz oddzielne sygnatury rozwiązania, domena z wieloznacznikiem jednopoziomowym nie jest wystarczająca. Musisz użyć domen macierzystych na wielu poziomach lub podać dodatkową konfigurację. Można na przykład przesłaniać trasy dla każdej poddomeny dzierżawcy. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące używania nazw domen w rozwiązaniu wielodostępnym.

Usługa Azure Front Door nie wystawia zarządzanych certyfikatów TLS dla domen wieloznacznych, dlatego należy kupić i dostarczyć własny certyfikat.

Zarządzane certyfikaty TLS

Uzyskiwanie i instalowanie certyfikatów TLS może być złożonym i podatnym na błędy procesem. Certyfikaty TLS wygasają po upływie określonego czasu, zwykle jednego roku i muszą zostać ponownie wystawione i ponownie zainstalowane, aby uniknąć zakłóceń w ruchu aplikacji. W przypadku korzystania z certyfikatów TLS zarządzanych przez usługę Azure Front Door firma Microsoft jest odpowiedzialna za wystawianie, instalowanie i odnawianie certyfikatów dla domeny niestandardowej.

Aplikacja pochodzenia może być hostowana w innej usłudze platformy Azure, która udostępnia również zarządzane certyfikaty TLS, takie jak Usługa Azure App Service. Usługa Azure Front Door współpracuje transparentnie z pozostałą usługą, aby synchronizować certyfikaty TLS.

Jeśli dzierżawcy mogą udostępniać własne domeny niestandardowe i chcesz, aby usługa Azure Front Door wystawiała certyfikaty dla tych nazw domen, dzierżawcy nie powinni konfigurować rekordów autoryzacji urzędu certyfikacji (CAA) na serwerach DNS. Te rekordy mogą uniemożliwić usłudze Azure Front Door wystawianie certyfikatów w imieniu użytkowników. Aby uzyskać więcej informacji na temat wielodostępności, zobacz Certyfikaty TLS i SSL w rozwiązaniach wielodostępnych. Aby uzyskać więcej informacji na temat usługi Azure Front Door, zobacz Szyfrowanie TLS za pomocą usługi Azure Front Door.

Trasowanie

Aplikacja wielodostępna może mieć jeden lub więcej zestawów aplikacji, które obsługują najemców. Sygnatury są często używane do włączania wdrożeń w wielu regionach i obsługi skalowania rozwiązania do dużej liczby dzierżaw.

Usługa Azure Front Door ma zaawansowany zestaw funkcji routingu, które mogą obsługiwać wiele architektur wielodostępnych. Za pomocą routingu można rozdzielać ruch między źródłami w ramach klastra, lub kierować ruch do właściwego klastra dla konkretnego klienta. Routing można skonfigurować na podstawie poszczególnych nazw domen, nazw domen wieloznacznych i ścieżek adresów URL. Silnik reguł umożliwia dalsze dostosowywanie zachowania trasowania.

Aby uzyskać więcej informacji, zobacz omówienie architektury routingu .

Silnik reguł

Silnik reguł usługi Azure Front Door umożliwia dostosowanie sposobu, w jaki żądania są przetwarzane przez usługę Azure Front Door na brzegu sieci. Silnik reguł umożliwia uruchamianie niewielkich fragmentów logiki w ramach pipeline przetwarzania żądań usługi Azure Front Door. Silnika reguł można używać do różnych zadań, które obejmują, ale nie ograniczają się do następujących elementów listy:

• Pobierz informacje o żądaniu HTTP, w tym segmenty adresu URL i ścieżki, i propaguj informacje do innej części żądania.

• Zmodyfikuj elementy żądania HTTP przed wysłaniem go do źródła.

• Zmodyfikuj elementy odpowiedzi HTTP przed jego zwróceniem do klienta.

• Zastąpi konfigurację routingu dla żądania, na przykład zmieniając grupę pochodzenia, do którego powinno zostać wysłane żądanie.

Następujące podejścia używają silnika reguł usługi Azure Front Door w rozwiązaniu dla wielu użytkowników.

• Załóżmy, że wdrażasz wielotenantową warstwę aplikacji, w której używasz także poddomen wieloznacznych specyficznych dla najemców, zgodnie z opisem w poniższych przykładowych scenariuszach. Możesz użyć silnika reguł, aby wyodrębnić identyfikator dzierżawy z poddomeny żądania i dodać go do nagłówka żądania. Ta reguła może pomóc warstwie aplikacji określić, od jakiego dzierżawcy pochodzi żądanie.

• Załóżmy, że wdrażasz wielodostępną warstwę aplikacji i używasz routingu opartego na ścieżkach, takiego jak https://application.contoso.com/tenant1/welcome i https://application.contoso.com/tenant2/welcome dla najemców 1 i 2 odpowiednio. Możesz użyć aparatu reguł do wyodrębnienia segmentu identyfikatora dzierżawy z segmentu ścieżki adresu URL oraz zmienić adres URL, aby uwzględnić identyfikator dzierżawy w parametrze ciągu zapytania lub nagłówku żądania używanym przez aplikację.

Aby uzyskać więcej informacji, zobacz Aparat reguł usługi Azure Front Door.

Przykładowe scenariusze

W poniższych przykładowych scenariuszach pokazano, jak można skonfigurować różne architektury wielodostępne w usłudze Azure Front Door oraz jak decyzje, które podejmiesz, mogą wpłynąć na konfigurację DNS i TLS.

Wiele rozwiązań wielodostępnych implementuje wzorzec szablonów wdrażania . W przypadku korzystania z tej metody wdrażania zazwyczaj wdrażasz jeden udostępniony profil usługi Azure Front Door i używasz usługi Azure Front Door do kierowania ruchu przychodzącego do odpowiedniej sygnatury. Ten model wdrażania jest najbardziej typowy, a scenariusze od 1 do 4 w tym artykule pokazują, jak można go użyć do spełnienia różnych wymagań.

Jednak w niektórych przypadkach możesz wdrożyć profil Azure Front Door w każdej instancji rozwiązania. Scenariusz 5 opisuje ten model wdrażania.

Scenariusz 1: Domena typu wildcard zarządzana przez dostawcę, pojedyncza pieczęć

Firma Contoso tworzy małe rozwiązanie dla wielu dzierżawców. Firma wdraża pojedynczy znak w jednym regionie i ten znak obsługuje wszystkich jej najemców. Wszystkie żądania są kierowane do tego samego serwera aplikacji. Firma Contoso zdecydowała się używać domen wieloznacznych dla wszystkich najemców, takich jak tenant1.contoso.com i tenant2.contoso.com.

Firma Contoso wdraża usługę Azure Front Door przy użyciu następującej konfiguracji.

Obraz przedstawia konfigurację usługi Azure Front Door. Zawiera on rekord CNAME i punkt końcowy usługi Azure Front Door. Dwaj najemcy wskazują na tę samą domenę niestandardową z symbolami wieloznacznymi. Jedna strzałka wskazuje z domeny niestandardowej na udostępniony wieloznaczny certyfikat TLS, który znajduje się w usłudze Key Vault. Kolejna strzałka wskazuje z domeny niestandardowej na trasę. Strzałka wskazuje trasę do grupy pochodzenia i z grupy pochodzenia do serwera pochodzenia, który jest również oznaczony etykietą sygnatury aplikacji.

Konfiguracja DNS

Konfiguracja jednorazowa: Firma Contoso konfiguruje dwa wpisy DNS.

• Rekord TXT dla *.contoso.com z symbolem wieloznacznym jest ustawiony na wartość określaną przez Azure Front Door podczas procesu dołączania domeny niestandardowej.

• Wieloznaczny rekord CNAME *.contoso.com to alias punktu końcowego usługi Azure Front Door firmy Contoso contoso.z01.azurefd.net.

Gdy nowy najemca jest wprowadzony: Nie jest wymagana żadna dodatkowa konfiguracja.

Konfiguracja protokołu TLS

Jednorazowa konfiguracja: Contoso kupuje uniwersalny certyfikat TLS, dodaje go do magazynu kluczy i przyznaje usłudze Azure Front Door dostęp do tego magazynu.

Gdy nowy najemca jest wprowadzony: Nie jest wymagana żadna dodatkowa konfiguracja.

Konfiguracja usługi Azure Front Door

Konfiguracja jednorazowa: Firma Contoso tworzy profil usługi Azure Front Door i pojedynczy punkt końcowy.

• Dodają jedną domenę niestandardową o nazwie *.contoso.com i wiążą swój certyfikat TLS typu wildcard z zasobem domeny niestandardowej.

• Konfigurują pojedynczą grupę pochodzenia zawierającą jedno źródło dla serwera aplikacji.

• Konfigurują trasę, aby połączyć domenę niestandardową z grupą źródłową.

Gdy nowy najemca jest wprowadzony: Nie jest wymagana żadna dodatkowa konfiguracja.

Korzyści

• Ten scenariusz jest stosunkowo łatwy do skonfigurowania i zapewnia klientom adresy URL oznaczone marką Contoso.

• Takie podejście obsługuje dużą liczbę najemców.

• Gdy nowy najemca jest wprowadzany, firma Contoso nie musi wprowadzać zmian w Azure Front Door, DNS ani certyfikatach TLS.

Minusy

• Takie podejście nie umożliwia łatwego skalowania poza pojedynczą sygnaturę lub region aplikacji.

• Firma Contoso musi kupić certyfikat wildcard TLS oraz odnowić i zainstalować go po wygaśnięciu.

Scenariusz 2: Domena z kartą wieloznaczną zarządzana przez dostawcę, wiele znaczników

Proseware tworzy rozwiązanie wielodzielenia zasobów w wielu jednostkach wdrożeniowych, które są rozlokowane zarówno w Australii, jak i Europie. Wszystkie żądania w danym regionie są obsługiwane przez znacznik w tym regionie. Podobnie jak Contoso, Proseware zdecydowała się używać domen wieloznacznych dla wszystkich najemców, takich jak tenant1.proseware.com i tenant2.proseware.com.

Oprogramowanie Proseware wdraża usługę Azure Front Door przy użyciu następującej konfiguracji:

Obraz przedstawia konfigurację usługi Azure Front Door. Zawiera on rekord CNAME i punkt końcowy usługi Azure Front Door. Istnieją dwa przepływy. Każda dzierżawa wskazuje unikatową domenę niestandardową, a następnie z tej domeny na udostępniony wieloznaczny certyfikat TLS znajdujący się w usłudze Key Vault. Strzałka wskazuje z domeny niestandardowej na trasę, z trasy do grupy pochodzenia i z grupy pochodzenia do serwera pochodzenia, który jest również oznaczony etykietą sygnatury aplikacji.

Konfiguracja DNS

Konfiguracja jednorazowa: Program Proseware konfiguruje dwa wpisy DNS.

• Rekord TXT dla *.proseware.com z symbolem wieloznacznym jest ustawiony na wartość określaną przez Azure Front Door podczas procesu dołączania domeny niestandardowej.

• Wieloznaczny rekord *.proseware.comCNAME to alias punktu końcowego proseware.z01.azurefd.netusługi Azure Front Door firmy Proseware.

Gdy nowy najemca jest wprowadzony: Nie jest wymagana żadna dodatkowa konfiguracja.

Konfiguracja protokołu TLS

jednorazowa konfiguracja: Proseware kupuje certyfikat TLS typu wildcard, umieszcza go w magazynie kluczy i przyznaje usłudze Azure Front Door dostęp do tego magazynu.

Gdy nowy najemca jest wprowadzony: Nie jest wymagana żadna dodatkowa konfiguracja.

Konfiguracja usługi Azure Front Door

Konfiguracja jednorazowa: Proseware tworzy profil usługi Azure Front Door i pojedynczy punkt końcowy. Firma konfiguruje wiele grup pochodzenia, po jednym dla każdej sygnatury aplikacji lub serwera w każdym regionie.

Kiedy obsługiwany jest nowy najemca: Proseware dodaje niestandardowy zasób domeny do usługi Azure Front Door.

• Używają nazwy *.proseware.com i kojarzą swój wieloznaczny certyfikat TLS z zasobem domeny niestandardowej.

• Tworzą trasę, aby określić, do której grupy pochodzenia lub stempla mają być kierowane żądania tego najemcy. Na poprzednim diagramie tenant1.proseware.com trasy do grupy pochodzenia w regionie Australia i tenant2.proseware.com trasy do grupy pochodzenia w regionie Europa.

Korzyści

• Gdy nowi najemcy są włączani, nie są wymagane żadne zmiany w konfiguracji DNS ani TLS.

• Usługa Proseware utrzymuje pojedynczą instancję Azure Front Door w celu routowania ruchu do wielu jednostek w różnych regionach.

Minusy

• Proseware musi ponownie skonfigurować usługę Azure Front Door za każdym razem, gdy dodawany jest nowy najemca.

• Firma Proseware musi zwrócić uwagę na limity przydziału i limity usługi Azure Front Door, szczególnie w przypadku liczby tras i domen niestandardowych oraz limitu routingu złożonego.

• Proseware musi kupić certyfikat TLS typu wildcard.

• Oprogramowanie Proseware jest odpowiedzialne za odnawianie i instalowanie certyfikatu po wygaśnięciu.

Scenariusz 3. Poddomeny wieloznaczne oparte na sygnaturach zarządzanych przez dostawcę

Fabrikam buduje rozwiązanie wielodzierżawcze. Firma wydaje znaczki w Australii i Stanach Zjednoczonych. Wszystkie żądania w danym regionie są obsługiwane przez znacznik w tym regionie. Firma Fabrikam używa domen macierzystych opartych na sygnaturach, takich jak tenant1.australia.fabrikam.com, tenant2.australia.fabrikam.comi tenant3.us.fabrikam.com.

Firma wdraża usługę Azure Front Door przy użyciu następującej konfiguracji.

Obraz przedstawia konfigurację usługi Azure Front Door. Obejmuje dwa rekordy CNAME i punkt końcowy Azure Front Door. Istnieją dwa strumienie, które kończą się różnymi serwerami źródłowymi. W każdym przepływie dwóch najemców wskazuje domenę niestandardową za pomocą wpisu DNS z symbolem wieloznacznym. Każda domena niestandardowa używa wieloznacznych certyfikatów TLS znajdujących się w usłudze Key Vault. Strzałka wskazuje z każdej domeny niestandardowej na trasę, z trasy do grupy źródeł, a od grupy źródeł do serwera źródłowego, który jest również oznaczony jako sygnatura aplikacji.

Konfiguracja DNS

jednorazowa konfiguracja: Fabrikam konfiguruje następujące dwa wieloznaczne wpisy DNS dla każdej sygnatury.

• Dla każdej sygnatury rekordy TXT *.australia.fabrikam.com i *.us.fabrikam.com z symbolami wieloznacznymi są ustawione na wartości określone przez usługę Azure Front Door podczas procesu dołączania domeny niestandardowej.

• Dla każdej sygnatury wieloznaczne rekordy *.australia.fabrikam.com CNAME i *.us.fabrikam.com są aliasami punktu końcowego fabrikam.z01.azurefd.netusługi Azure Front Door.

Gdy nowy najemca jest wprowadzony: Nie jest wymagana żadna dodatkowa konfiguracja.

Konfiguracja protokołu TLS

konfiguracja jednorazowa: Fabrikam kupuje certyfikat TLS z symbolem wieloznacznym dla każdego zestawu, dodaje je do magazynu kluczy i przyznaje usłudze Azure Front Door dostęp do magazynu.

Gdy nowy najemca jest wprowadzony: Nie jest wymagana żadna dodatkowa konfiguracja.

Konfiguracja usługi Azure Front Door

Konfiguracja jednorazowa: Fabrikam tworzy profil Azure Front Door i jeden punkt końcowy.

• Konfigurują grupę pochodzenia dla każdej sygnatury.

• Tworzą domeny niestandardowe przy użyciu symbolu wieloznakowego dla każdej poddomeny opartej na sygnaturach: *.australia.fabrikam.com i *.us.fabrikam.com.

• Tworzą trasę dla domeny niestandardowej każdej pieczęci, aby wysyłać ruch do odpowiedniej grupy źródłowej.

Gdy nowy najemca jest wprowadzony: Nie jest wymagana żadna dodatkowa konfiguracja.

Korzyści

• Takie podejście umożliwia firmie Fabrikam skalowanie do dużej liczby najemców w wielu jednostkach.

• Gdy nowi najemcy są włączani, nie są wymagane żadne zmiany w konfiguracji DNS ani TLS.

• Fabrikam utrzymuje pojedyncze wystąpienie usługi Azure Front Door w celu kierowania ruchu do wielu lokacji w wielu regionach.

Minusy

• Ponieważ adresy URL posługują się wieloczęściową strukturą domeny nadrzędnej, mogą być bardziej złożone, z którymi użytkownikom trudniej jest pracować.

• Fabrikam musi kupić wiele wieloznacznych certyfikatów TLS.

• Firma Fabrikam jest odpowiedzialna za odnawianie i instalowanie certyfikatów TLS po wygaśnięciu.

Scenariusz 4: Domeny prestiżowe

Adventure Works Cycles tworzy wieloklienckie rozwiązanie. Firma wdraża znaczki w wielu regionach, takich jak Stany Zjednoczone i Australia. Wszystkie żądania w danym regionie są obsługiwane przez znacznik w tym regionie. Firma Adventure Works umożliwia dzierżawcom korzystanie z własnych nazw domen. Na przykład najemca 1 może skonfigurować niestandardową nazwę domeny, taką jak tenant1app.tenant1.com.

Firma wdraża usługę Azure Front Door przy użyciu następującej konfiguracji.

Obraz przedstawia konfigurację usługi Azure Front Door. Obejmuje cztery CNAME i punkt końcowy Azure Front Door. Czterech najemców kieruje na cztery oddzielne domeny niestandardowe. Dzierżawcy 1 i 2 znajdują się w Australii. Ich niestandardowe domeny wskazują tę samą trasę, od trasy do grupy pochodzenia, a następnie z grupy pochodzenia do serwera źródłowego w Australii, który jest również oznaczony pieczęcią aplikacji. Najemcy 3 i 4 znajdują się w Stanach Zjednoczonych. Mają one oddzielny przepływ od trasy do grupy pochodzenia, a następnie do serwera pochodzenia w Stanach Zjednoczonych. Najemcy od 1 do 3 używają zarządzanego certyfikatu TLS w specjalnej domenie. Najemca 4 nie używa zarządzanego certyfikatu TLS i zamiast tego wskazuje niestandardowy certyfikat TLS, który znajduje się w Key Vault.

Konfiguracja DNS

konfiguracja jednorazowa: Brak.

Po dołączeniu nowego najemcy: Najemca musi utworzyć dwa rekordy na własnym serwerze DNS.

• Rekord TXT służy do walidacji domeny. Na przykład dzierżawca 1 musi skonfigurować rekord TXT o nazwie tenant1app.tenant1.com i ustawić go na wartość określaną przez usługę Azure Front Door podczas procesu dołączania domeny niestandardowej.

• Rekord CNAME jest aliasem punktu końcowego usługi Azure Front Door firmy Adventure Works. Na przykład najemca 1 musi skonfigurować rekord CNAME o nazwie tenant1app.tenant1.com i zamapować go na adventureworks.z01.azurefd.net.

Konfiguracja protokołu TLS

Firma Adventure Works i jej dzierżawcy muszą zdecydować, kto wystawia certyfikaty TLS:

• Najprostszą opcją jest użycie usługi Azure Front Door do wystawiania certyfikatów i zarządzania nimi. Jednak dzierżawcy nie powinni konfigurować rekordów CAA na serwerach DNS. Jeśli tak, rekordy mogą uniemożliwić urzędowi certyfikacji usługi Azure Front Door wystawianie certyfikatów.

• Alternatywnie dzierżawcy mogą udostępniać własne certyfikaty. Muszą współpracować z Adventure Works, aby załadować certyfikat do magazynu kluczy i zapewnić dostęp do Azure Front Door.

Konfiguracja usługi Azure Front Door

Jednorazowa Konfiguracja: Adventure Works tworzy profil dla usługi Azure Front Door i pojedynczy punkt końcowy. Konfigurują grupę pochodzenia dla każdej sygnatury. Nie tworzą niestandardowych zasobów domeny ani tras.

Po dołączeniu nowego najemcy: Adventure Works dodaje do usługi Azure Front Door zasób domeny niestandardowej.

• Używają nazwy domeny dostarczonej przez najemcę i kojarzą odpowiedni certyfikat TLS z zasobem domeny niestandardowej.

• Następnie tworzą trasę, aby określić, do której grupy źródłowej lub sygnatury mają być kierowane żądania najemcy. Na powyższym diagramie tenant1app.tenant1.com jest kierowana do grupy pochodzenia w regionie Australii, a tenant2app.tenant3.com jest kierowana do grupy pochodzenia w regionie USA.

Korzyści

• Klienci mogą podać własne nazwy domen. Usługa Azure Front Door transparentnie przekierowuje żądania do rozwiązania multi-tenantowego.

• Firma Adventure Works zarządza pojedynczym wystąpieniem usługi Azure Front Door, aby kierować ruch do wielu punktów końcowych rozmieszczonych w różnych regionach.

Minusy

• Firma Adventure Works musi na nowo skonfigurować usługę Azure Front Door przy każdym dołączeniu nowego tenantu.

• Dzierżawcy muszą być zaangażowani w proces wdrażania. Muszą oni wprowadzić zmiany DNS i ewentualnie wystawiać certyfikaty TLS.

• Dzierżawcy kontrolują swoje rekordy DNS. Zmiany rekordów DNS mogą mieć wpływ na możliwość uzyskania dostępu do rozwiązania Adventure Works.

• Firma Adventure Works musi zwrócić uwagę na przydziały i limity Azure Front Door, zwłaszcza na liczbę tras i domen niestandardowych oraz limit routingu złożonego.

Scenariusz 5. Profil usługi Azure Front Door dla każdej sygnatury

Dla każdej sygnatury można wdrożyć profil usługi Azure Front Door. Jeśli masz 10 znaczków, wdrożysz 10 wystąpień usługi Azure Front Door. Takie podejście może być przydatne, jeśli musisz ograniczyć dostęp do zarządzania konfiguracją Azure Front Door dla każdej pieczęci. Może to być również przydatne, jeśli musisz użyć wielu profilów usługi Azure Front Door, aby uniknąć przekroczenia zasobów lub innych limitów.

Napiwek

Usługa Azure Front Door to zasób globalny. Nawet jeśli wdrażasz znaczniki o określonym zakresie regionalnym, każdy profil usługi Azure Front Door jest dystrybuowany globalnie. Należy rozważyć, czy naprawdę musisz wdrożyć wiele profilów usługi Azure Front Door i ocenić konkretne korzyści, jakie zapewnia.

Jeśli masz stempel, który obsługuje wielu lokatorów, musisz rozważyć sposób kierowania ruchu do każdego lokatora. Przejrzyj podejścia opisane w poprzednich scenariuszach. Rozważ połączenie metod odpowiadających Twoim wymaganiom.

Korzyści

• W przypadku rozszerzenia konfiguracji między wieloma profilami mniej prawdopodobne jest osiągnięcie limitów zasobów usługi Azure Front Door. Jeśli na przykład potrzebujesz obsługi dużej liczby domen niestandardowych, możesz podzielić domeny między wiele profilów usługi Azure Front Door i pozostać w granicach każdego profilu.

• Takie podejście umożliwia określanie zakresu uprawnień do zarządzania zasobami usługi Azure Front Door. Możesz używać opartą na rolach kontrolę dostępu Azure, aby przyznać administratorom dostęp do profilu pojedynczego zasobu.

Minusy

• Takie podejście zwykle wiąże się z wysokim kosztem, ponieważ wdraża się więcej profilów. Aby uzyskać więcej informacji, zobacz Omówienie rozliczeń usługi Azure Front Door.

• Istnieje ograniczenie liczby profilów usługi Azure Front Door, które można wdrożyć w jednej subskrypcji platformy Azure. Aby uzyskać więcej informacji, zobacz Limity przydziału i limity usługi Azure Front Door.

• Musisz oddzielnie skonfigurować profil usługi Azure Front Door dla każdej sygnatury i musisz zarządzać konfiguracją DNS, certyfikatami TLS i konfiguracją protokołu TLS dla każdej sygnatury.

Współpracownicy

Firma Microsoft utrzymuje ten artykuł. Następujący współautorzy napisali ten artykuł.

Główni autorzy:

• John Downs | Główny inżynier oprogramowania
• Raj Nemani | Dyrektor, Strateg Partnera Technologicznego

Inni współautorzy:

• Mick Alberts | Autor techniczny

• Fernando Antivero | Programista Fullstack & Inżynier Platformy Chmurowej

• Duong Au | Starszy twórca treści, C+E Skilling Content R&D

• Harikrishnan M B (Hari) | Product Manager 2, Azure Networking

• Arsen Vladimirskiy | Główny inżynier klienta, FastTrack dla Azure

Aby wyświetlić niepubliczne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

• szkolenie : wprowadzenie do usługi Azure Front Door
• wprowadzenie do usługi Azure Front Door
• Co to jest usługa Azure Front Door?

Powiązane zasoby

• Projektowanie wielodostępnych rozwiązań na platformie Azure
• lista kontrolna do tworzenia architektury i tworzenia rozwiązań wielodostępnych na platformie Azure
• Modele najmu do rozważenia przy rozwiązywaniu wielonajemczym