O que é um conjunto de regras no Azure Front Door?

  • Artigo

Um conjunto de regras é um mecanismo de regras personalizadas que agrupa uma combinação de regras em um único conjunto. Você pode associar um conjunto de regras a várias rotas. Um conjunto de regras permite que você personalize como as solicitações são processadas e tratadas na borda do Azure Front Door.

Cenários comuns com suporte

  • Implementação de cabeçalhos de segurança para impedir que ocorram vulnerabilidades com base no navegador, como HSTS (HTTP Strict-Transport-Security), X-XSS-Protection, Content-Security-Policy, X-Frame-Options e cabeçalhos Access-Control-Allow-Origin para cenários do CORS (Cross-Origin Resource Sharing). Os atributos baseados em segurança também podem ser definidos com cookies.

  • Rotear solicitações para as versões móvel e desktop do seu aplicativo com base no tipo de dispositivo do cliente.

  • Usar recursos de redirecionamento para retornar os redirecionamentos 301, 302, 307 e 308 para o cliente a fim de direcioná-lo a novos nomes do host, caminhos, cadeias de caracteres de consulta ou protocolos.

  • Modificar dinamicamente a configuração de cache da rota com base nas solicitações de entrada.

  • Reescrever o caminho da URL de solicitação e encaminhar a solicitação para a origem apropriada no grupo de origem configurado.

  • Adicionar, modificar ou remover o cabeçalho de solicitação/resposta para ocultar informações confidenciais ou capturar informações importantes por meio de cabeçalhos.

  • Suporte a variáveis de servidor para alterar dinamicamente o cabeçalho da solicitação, cabeçalhos de resposta ou caminhos de reescrita de URL/cadeias de caracteres de consulta. Por exemplo, quando uma nova página é carregada ou quando um formulário é postado. Atualmente, a variável de servidor tem suporte apenas nas ações de conjunto de regras.

Arquitetura

Os conjuntos de regras manipulam solicitações na borda do Front Door. Quando uma solicitação chega ao ponto de extremidade do Front Door, o WAF é processado primeiro, seguido pelas configurações definidas em rota. Essas configurações incluem o conjunto de regras associado à rota. Os conjuntos de regras são processados na ordem em que aparecem na configuração de roteamento. As regras em um conjunto de regras também são processadas na ordem em que aparecem. Para que todas as ações em cada regra sejam executadas, todas as condições de correspondência dentro de uma regra devem ser atendidas. Se uma solicitação não corresponder a nenhuma das condições na configuração do conjunto de regras, somente as configurações na rota padrão serão aplicadas .

Se a opção Parar de avaliar as regras restantes for selecionada, todos os conjuntos de regras restantes associados à rota não serão executados.

Exemplo

No diagrama a seguir, as políticas de WAF são processadas primeiro. Em seguida, a configuração do conjunto de regras acrescenta um cabeçalho de resposta. O cabeçalho alterará a idade máxima do controle de cache caso a condição de correspondência seja true.

Diagrama mostrando como um conjunto de regras pode alterar o cabeçalho de resposta de uma solicitação que passa por um ponto de extremidade do Front Door.

Terminologia

Com um conjunto de regras do Front Door, você pode criar qualquer combinação de configurações, cada qual composta de um conjunto de regras. Veja a seguir a descrição de algumas terminologias úteis que você encontra ao configurar seu conjunto de regras.

  • Conjunto de Regras: um conjunto de regras que é associado a uma ou várias rotas.

  • Regra do Conjunto de Regras: uma regra composta por até 10 condições de correspondência e 5 ações. As regras são locais para um conjunto de regras e não podem ser exportadas para uso entre outros conjuntos de regras. Você pode criar a mesma regra em conjuntos de regras diferentes.

  • Condição de correspondência: há várias condições de correspondência que você pode configurar para analisar uma solicitação de entrada. Uma regra pode conter até 10 condições de correspondência. As condições de correspondência são avaliadas com um operador AND. Há suporte para a expressão regular em condições. Uma lista completa de condições de correspondência pode ser encontrada em Condições de correspondência do conjunto de Regras.

  • Ação: uma ação determina como o Front Door tratará as solicitações de entrada com base nas condições de correspondência. Você pode modificar comportamentos de cache, modificar cabeçalhos de solicitação/cabeçalhos de resposta, definir a reescrita de URL e o redirecionamento de URL. Variáveis de servidor têm suporte com ação. Uma regra pode conter até cinco ações. Uma lista completa de ações pode ser encontrada em Ações do conjunto de regras.

Suporte ao modelo ARM

Os conjuntos de Regras podem ser configurados usando modelos do Azure Resource Manager. Para obter um exemplo, confira Front Door Standard/Premium com conjunto de regras. Você pode personalizar o comportamento usando os trechos de código JSON ou Bicep incluídos nos exemplos de documentação para condições de correspondência e ações.

Limitações

Para obter informações sobre limites de cota, confira Limites, cotas e restrições do Front Door.

Próximas etapas

Importante

O Azure Front Door (clássico) será desativado em 31 de março de 2027. Para evitar qualquer interrupção do serviço, é importante que você migre seus perfis do Azure Front Door (clássico) para a camada Standard ou Premium do Azure Front Door até março de 2027. Para obter mais informações, consulte Desativação do Azure Front Door (clássico).

Uma configuração do mecanismo de regras permite personalizar como as solicitações HTTP são tratadas na borda do Front Door e fornece um comportamento controlado para seu aplicativo Web. O Mecanismo de Regras para o Azure Front Door (clássico) tem vários recursos principais, incluindo:

  • Impõe o protocolo HTTP para garantir que todos os usuários finais interajam com seu conteúdo por meio de uma conexão segura.
  • Implementa cabeçalhos de segurança para impedir que ocorram vulnerabilidades com base no navegador, como os cabeçalhos HSTS (HTTP Strict-Transport-Security), X-XSS-Protection, Content-Security-Policy, X-Frame-Options e Access-Control-Allow-Origin para cenários do CORS (Compartilhamento de Recursos entre Origens). Os atributos baseados em segurança também podem ser definidos com cookies.
  • Encaminha solicitações para versões móveis ou para desktop do seu aplicativo com base nos padrões de conteúdo dos cabeçalhos de solicitação, cookies ou cadeias de caracteres de consulta.
  • Usa recursos de redirecionamento para retornar os redirecionamentos 301, 302, 307 e 308 para o cliente a fim de direcionar a novos nomes de host, caminhos ou protocolos.
  • Modificar dinamicamente a configuração de cache da rota com base nas solicitações de entrada.
  • Reescrever o caminho da URL de solicitação e encaminhar a solicitação para o back-end apropriado no seu pool de back-end configurado.

Arquitetura

O mecanismo de regras lida com solicitações na borda. Quando uma solicitação entra no ponto de extremidade do Azure Front Door (clássico), o WAF é processado primeiro, seguido pela configuração do Mecanismo de Regras associada ao domínio frontend. Se uma configuração do mecanismo de regras for processada, isso significa que uma condição de correspondência foi atendida. Para que todas as ações sejam processadas em cada regra, todas as condições de correspondência dentro de uma regra têm de ser atendidas. Caso uma solicitação não corresponda a nenhuma das condições em sua configuração do Mecanismo de regra, a configuração de roteamento padrão é processada.

Por exemplo, no diagrama a seguir, um Mecanismo de regras é configurado para acrescentar um cabeçalho de resposta. O cabeçalho alterará a idade máxima do controle de cache se o arquivo de solicitação tiver uma extensão .jpg.

Diagrama mostrando o mecanismo de regras alterando a idade máxima do cache no cabeçalho de resposta se o arquivo solicitado tiver uma extensão .jpg.

Neste segundo exemplo, você verá que o mecanismo de regras está configurado para redirecionar usuários para uma versão móvel do site se o dispositivo solicitante for do tipo Móvel.

Diagrama mostrando o mecanismo de regras redirecionando os usuários para a versão móvel de um site se o dispositivo solicitante for do tipo móvel.

Em ambos os exemplos, quando nenhuma das condições de correspondência é atendida, a regra de roteamento especificada é processada.

Terminologia

No Azure Front Door (clássico), é possível criar configurações de Mecanismo de Regras de várias combinações. Cada uma delas será composta por um conjunto de regras. Veja a seguir a descrição de algumas terminologias úteis que você encontrará ao configurar o Mecanismo de regras.

  • Configuração do mecanismo de regras: um conjunto de regras aplicadas a uma rota. Cada configuração é limitada a 25 regras. Você pode criar até 10 configurações.
  • Regra do mecanismo de regras: uma regra composta por até 10 condições de correspondência e cinco ações.
  • Condição de correspondência: há várias condições de correspondência que podem ser utilizadas para analisar as solicitações de entrada. Uma regra pode conter até 10 condições de correspondência. As condições de correspondência são avaliadas com um operador AND. Para obter uma lista completa das condições de correspondência, confira Condição de correspondência das regras.
  • Ação: as ações ditam o que acontece com as suas solicitações de entrada – ações de cabeçalho de solicitação/resposta, encaminhamentos, redirecionamentos e regravações estão disponíveis hoje. Uma regra pode conter até cinco ações. No entanto, uma regra poderá conter somente uma substituição de configuração de rota. Para obter uma lista completa de ações, confira Ações de regras.

Próximas etapas