Utforma och konfigurera Azure Front Door
Azure Front Door är Microsofts moderna nätverk för innehållsleverans i molnet (CDN) som ger snabb, tillförlitlig och säker åtkomst mellan dina användare och dina programs statiska och dynamiska webbinnehåll över hela världen. Azure Front Door levererar ditt innehåll med hjälp av Microsofts globala gränsnätverk med hundratals globala och lokala IP-adresser distribuerade runt om i världen nära både dina företags- och konsumentanvändare.
Många organisationer har program som de vill göra tillgängliga för sina kunder, sina leverantörer och nästan säkert sina användare. Den svåra delen är att se till att dessa program är mycket tillgängliga. Dessutom måste de kunna svara snabbt samtidigt som de skyddas på rätt sätt. Azure Front Door tillhandahåller olika SKU:er (prisnivåer) som uppfyller dessa krav. Låt oss kort gå igenom funktionerna och fördelarna med dessa SKU:er så att du kan avgöra vilket alternativ som passar dina behov bäst.
Ett säkert, modernt moln-CDN ger en distribuerad plattform med servrar. Detta hjälper till att minimera svarstiden när användare kommer åt webbsidor. Tidigare kan IT-personalen ha använt ett CDN och en brandvägg för webbprogram för att styra HTTP- och HTTPS-trafik som flödar till och från målprogram.
Om en organisation använder Azure kan de uppnå dessa mål genom att implementera de produkter som beskrivs i följande tabell
Produkt | Beskrivning |
---|---|
Azure Front Door | Aktiverar en startpunkt för dina appar som är placerade i Microsofts globala edge-nätverk. Ger snabbare, säkrare och skalbar åtkomst till dina webbprogram. |
Azure Content Delivery Network | Levererar innehåll med hög bandbredd till användarna genom att cachelagra deras innehåll på strategiskt placerade fysiska noder runt om i världen. |
Azure Web Application Firewall | Hjälper till att ge ett centraliserat och bättre skydd för webbprogram mot vanliga sårbarheter och sårbarheter. |
Jämförelse av Azure Front Door-nivå
Azure Front Door erbjuds på två olika nivåer, Azure Front Door Standard och Azure Front Door Premium. Azure Front Door Standard- och Premium-nivån kombinerar funktionerna i Azure Front Door (klassisk), Azure CDN Standard från Microsoft (klassisk) och Azure WAF till en enda säker CDN-plattform i molnet med intelligent skydd mot hot. Azure Front Door finns på gränsenheter och hanterar användarbegäranden till dina värdbaserade program. Användare ansluter till ditt program via Microsofts globala nätverk. Azure Front Door dirigerar sedan användarbegäranden till den snabbaste och mest tillgängliga programserverdelen.
En jämförelse av funktioner som stöds i Azure Front Door finns i jämförelsetabellen för funktioner.
Skapa en Front Door i Azure Portal
Läs följande snabbstart för att lära dig hur du skapar en Azure Front Door-profil med hjälp av Azure Portal. Du kan skapa en Azure Front Door-profil via Snabb skapa med grundläggande konfigurationer eller genom den anpassade skapande som möjliggör en mer avancerad konfiguration.
Översikt över routningsarkitektur
Front Door-trafikroutning sker i flera steg. Först dirigeras trafiken från klienten till Front Door. Sedan använder Front Door din konfiguration för att fastställa ursprunget för att skicka trafiken till. Front Door-webbprogrammets brandvägg, routningsregler, regelmotor och cachelagringskonfiguration påverkar alla routningsprocessen. Följande diagram illustrerar routningsarkitekturen:
Konfigurera omdirigeringsregler i Front Door
När du har upprättat en anslutning och slutfört en TLS-handskakning, när en begäran hamnar i en Front Door-miljö, är en av de första sakerna som Front Door gör att avgöra vilken routningsregel som ska matcha begäran till och sedan vidta den definierade åtgärden i konfigurationen.
Konfigurationsstruktur för Front Door-routningsregler
En Front Door-routningsregelkonfiguration består av två huvuddelar: en "vänster sida" och en "höger sida". Front Door matchar den inkommande begäran till vänster om vägen. Den högra sidan definierar hur Front Door bearbetar begäran.
Inkommande matchning
Följande egenskaper avgör om den inkommande begäran matchar routningsregeln (eller vänster sida):
- HTTP-protokoll (HTTP/HTTPS)
- Värdar (till exempel www.foo.com, *.bar.com)
- Sökvägar (till exempel /, /users/, /file.gif)
Dessa egenskaper expanderas internt så att varje kombination av Protokoll/Värd/Sökväg är en potentiell matchningsuppsättning.
Dirigera data
Front Door påskyndar bearbetningen av begäranden med hjälp av cachelagring. Om cachelagring är aktiverat för en viss väg använder den det cachelagrade svaret. Om det inte finns något cachelagrat svar för begäran vidarebefordrar Front Door begäran till lämplig serverdel i den konfigurerade serverdelspoolen.
Vägmatchning
Front Door försöker matcha den mest specifika matchen först och tittar bara på vänster sida av vägen. Den matchar först baserat på HTTP-protokollet, sedan klientdelsvärden och sedan sökvägen.
Matchning av klientdelsvärd:
- Leta efter routning med en exakt matchning på värden.
- Om inga exakta klientdelsvärdar matchar avvisar du begäran och skickar ett fel med 400 felaktig begäran.
Sökvägsmatchning:
- Leta efter en routningsregel med en exakt matchning på sökvägen.
- Om det inte finns någon exakt matchning av sökvägar letar du efter routningsregler med en sökväg med jokertecken som matchar.
- Om inga routningsregler hittas med en matchande sökväg avvisar du begäran och returnerar http-svaret 400: Felaktig begäran.
Om det inte finns några routningsregler för en klientdelsvärd med exakt matchning med en catch-all-vägsökväg (/*) kommer det inte att finnas någon matchning till någon routningsregel.
Azure Front Door omdirigerar trafik på var och en av följande nivåer: protokoll, värdnamn, sökväg, frågesträng. Dessa funktioner kan konfigureras för enskilda mikrotjänster eftersom omdirigeringen är sökvägsbaserad. Detta kan förenkla programkonfigurationen genom att optimera resursanvändningen och stöder nya omdirigeringsscenarier, inklusive global och sökvägsbaserad omdirigering.
Omdirigeringstyper
En omdirigeringstyp anger svarsstatuskoden för klienterna för att förstå syftet med omdirigeringen. Följande typer av omdirigering stöds:
Omdirigeringstyp | Åtgärd | Beskrivning |
---|---|---|
301 | Flyttades permanent | Anger att målresursen har tilldelats en ny permanent URI. Eventuella framtida referenser till den här resursen använder en av de omgivna URI:erna. Använd 301-statuskod för HTTP till HTTPS-omdirigering. |
302 | Grunda | Anger att målresursen tillfälligt är under en annan URI. Eftersom omdirigeringen kan ändras ibland bör klienten fortsätta att använda den effektiva begärande-URI:n för framtida begäranden. |
307 | Tillfällig omdirigering | Anger att målresursen tillfälligt är under en annan URI. Användaragenten får inte ändra begärandemetoden om den gör en automatisk omdirigering till den URI:n. Eftersom omdirigeringen kan ändras över tid bör klienten fortsätta att använda den ursprungliga effektiva begärande-URI:n för framtida begäranden. |
308 | Permanent omdirigering | Anger att målresursen har tilldelats en ny permanent URI. Eventuella framtida referenser till den här resursen bör använda någon av de omgivna URI:erna. |
Omdirigeringsprotokoll
Du kan ange det protokoll som ska användas för omdirigering. Det vanligaste användningsfallet för omdirigeringsfunktionen är att ange HTTP till HTTPS-omdirigering.
- Endast HTTPS: Ange endast protokollet till HTTPS om du vill omdirigera trafiken från HTTP till HTTPS. Azure Front Door rekommenderar att du alltid ställer in omdirigeringen endast på HTTPS.
- Endast HTTP: Omdirigerar den inkommande begäran till HTTP. Använd endast det här värdet om du vill behålla din http-trafik som inte är krypterad.
- Matchningsbegäran: Det här alternativet behåller det protokoll som används av den inkommande begäran. Därför förblir en HTTP-begäran HTTP och en HTTPS-begäran förblir HTTPS efter omdirigering.
Målvärd
Som en del av konfigurationen av en omdirigeringsdirigering kan du också ändra värdnamnet eller domänen för omdirigeringsbegäran. Du kan ange att det här fältet ska ändra värdnamnet i URL:en för omdirigeringen eller på annat sätt bevara värdnamnet från den inkommande begäran. Med det här fältet kan du omdirigera alla begäranden som skickas på https://www.contoso.com/* till https://www.fabrikam.com/*.
Målsökväg
Om du vill ersätta sökvägssegmentet för en URL som en del av omdirigeringen kan du ange det här fältet med det nya sökvägsvärdet. Annars kan du välja att bevara sökvägsvärdet som en del av omdirigeringen. Med det här fältet kan du omdirigera alla begäranden som skickas till https://www.contoso.com/* till https://www.contoso.com/redirected-site.
Målfragment
Målfragmentet är den del av URL:en efter "#", som används av webbläsaren för att landa på ett visst avsnitt på en webbsida. Du kan ange det här fältet för att lägga till ett fragment i omdirigerings-URL:en.
Frågesträngsparametrar
Du kan också ersätta frågesträngsparametrarna i den omdirigerade URL:en. Om du vill ersätta en befintlig frågesträng från url:en för inkommande begäran ställer du in fältet på Ersätt och anger sedan lämpligt värde. Annars behåller du den ursprungliga uppsättningen frågesträngar genom att ange fältet till "Bevara". Med det här fältet kan du till exempel omdirigera all trafik som skickas till https://www.contoso.com/foo/bar https://www.contoso.com/foo/bar?& utm_referrer=https%3A%2F%2Fwww.bing.com%2F.
Konfigurera omskrivningsprinciper
Azure Front Door stöder URL-omskrivning genom att konfigurera en valfri anpassad vidarebefordranväg som ska användas när begäran skapas för vidarebefordran till serverdelen. Om en anpassad vidarebefordranväg inte tillhandahålls kopierar Front Door som standard den inkommande URL-sökvägen till den URL som används i den vidarebefordrade begäran. Värdhuvudet som används i den vidarebefordrade begäran ser ut så som det konfigurerats för den valda serverdelen. Läs Serverdelsvärdrubrik för att lära dig vad den gör och hur du kan konfigurera den.
Den kraftfulla delen av URL-omskrivningen är att den anpassade vidarebefordran sökvägen kopierar alla delar av den inkommande sökvägen som matchar en sökväg med jokertecken till den vidarebefordrade sökvägen.
Konfigurera hälsoavsökningar, inklusive anpassning av HTTP-svarskoder
För att fastställa hälsotillståndet och närheten till varje serverdel för en viss Front Door-miljö skickar varje Front Door-miljö regelbundet en syntetisk HTTP/HTTPS-begäran till var och en av dina konfigurerade serverdelar. Front Door använder sedan dessa svar från avsökningen för att fastställa de "bästa" serverdelsresurserna för att dirigera dina klientbegäranden.
Eftersom Front Door har många gränsmiljöer globalt kan hälsoavsökningsvolymen för dina serverdelar vara ganska hög – från 25 begäranden varje minut till så höga som 1 200 begäranden per minut, beroende på vilken hälsoavsökningsfrekvens som konfigurerats. Med standardfrekvensen för avsökning på 30 sekunder bör avsökningsvolymen på serverdelen vara cirka 200 begäranden per minut.
HTTP-metoder som stöds för hälsoavsökningar
Front Door stöder sändning av avsökningar via HTTP- eller HTTPS-protokoll. Dessa avsökningar skickas via samma TCP-portar som konfigurerats för routning av klientbegäranden och kan inte åsidosättas.
Front Door stöder följande HTTP-metoder för att skicka hälsoavsökningarna:
GET: GET-metoden innebär att hämta den information (i form av en entitet) som identifieras av Request-URI.
HEAD: HEAD-metoden är identisk med GET förutom att servern INTE får returnera en meddelandetext i svaret. Eftersom den har lägre belastning och kostnad på dina serverdelar anges avsökningsmetoden som standard som HEAD för nya Front Door-profiler.
Hälsoavsökningssvar
I följande tabell beskrivs svar på hälsoavsökningen:
Response | Beskrivning |
---|---|
Fastställa hälsa | En 200 OK-statuskod anger att serverdelen är felfri. Allt annat anses vara ett misslyckande. Om ett giltigt HTTP-svar av någon anledning (inklusive nätverksfel) inte tas emot för en avsökning räknas avsökningen som ett fel. |
Mäta svarstid | Svarstiden är den tid på väggklockan som mäts från det ögonblick som omedelbart innan avsökningsbegäran skickas till det ögonblick då den sista byte av svaret tas emot. En ny TCP-anslutning används för varje begäran, så den här mätningen är inte partisk mot serverdelar med befintliga varma anslutningar. |
Azure Front Door använder samma trestegsprocess nedan, för alla algoritmer, för att fastställa hälsotillståndet.
Exkludera inaktiverade serverdelar.
Exkludera serverdelar som har hälsoavsökningsfel:
- Det här valet görs genom att titta på de senaste n hälsoavsökningssvaren. Om minst x är felfri anses serverdelen vara felfri.
- n konfigureras genom att ändra egenskapen SampleSize i inställningarna för belastningsutjämning.
- x konfigureras genom att ändra egenskapen SuccessfulSamplesRequired i belastningsutjämningsinställningarna.
För uppsättningar med felfria serverdelar i serverdelspoolen mäter och underhåller Front Door dessutom svarstiden (tur och retur-tid) för varje serverdel.
Om du har en enda serverdel i serverdelspoolen kan du välja att inaktivera hälsoavsökningarna som minskar belastningen på programserverdelen. Även om du har flera serverdelar i serverdelspoolen, men bara en av dem är i aktiverat tillstånd, kan du inaktivera hälsoavsökningar.
Säker frontdörr med SSL
Använd HTTPS-protokollet på din anpassade domän (till exempel https://www.contoso.com), du ser till att dina känsliga data levereras säkert via TLS/SSL-kryptering när de skickas via Internet. När webbläsaren är ansluten till en webbplats via HTTPS verifierar den webbplatsens säkerhetscertifikat och verifierar att den har utfärdats av en legitim certifikatutfärdare. Den här processen ger trygghet och skyddar dina webbprogram mot attacker.
Några viktiga attribut i den anpassade HTTPS-funktionen är:
- Ingen extra kostnad: Det finns inga kostnader för certifikatanskaffning eller förnyelse och ingen extra kostnad för HTTPS-trafik.
- Enkel aktivering: Etablering med ett klick är tillgängligt från Azure Portal. Du kan också aktivera funktionen med REST API eller andra utvecklingsverktyg.
- Fullständig certifikathantering: All anskaffning och hantering av certifikat hanteras åt dig. Certifikat etableras och förnyas automatiskt innan de upphör att gälla, vilket tar bort risken för avbrott i tjänsten på grund av att ett certifikat upphör att gälla.
Du kan aktivera HTTPS-protokollet för en anpassad domän som är associerad med din Front Door under avsnittet klientdelsvärdar.
Mer information om hur du konfigurerar HTTPS på Front Door finns i Självstudie – Konfigurera HTTPS på en anpassad domän för Azure Front Door | Microsoft Learn.