Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Front Door, Azure Depolama bloblarından statik içerik teslimini geliştirerek güvenli ve ölçeklenebilir bir mimari sağlar. Bu kurulum, web sitesi barındırma ve dosya teslimi gibi çeşitli kullanım örnekleri için idealdir.
Mimari
Bu başvuru mimarisinde bir depolama hesabı ve tek bir kaynağa sahip bir Azure Front Door profili dağıtılır.
Veri akışı
Veriler senaryo boyunca aşağıdaki gibi akar:
- İstemci, özel bir etki alanı adı ve Front Door tarafından sağlanan bir TLS sertifikası kullanarak Azure Front Door'a güvenli bir bağlantı kurar. Bağlantı yakındaki bir Front Door iletişim noktasında (PoP) sonlanır.
- Azure Front Door web uygulaması güvenlik duvarı (WAF) isteği tarar. WAF isteğin çok riskli olduğunu belirlerse, isteği engeller ve bir HTTP 403 hata yanıtı döndürür.
- Front Door PoP önbelleği geçerli bir yanıt içeriyorsa, Front Door yanıtı hemen döndürür.
- Aksi takdirde PoP, isteği microsoft'un omurga ağını kullanarak ayrı, uzun ömürlü bir TCP bağlantısı kullanarak kaynak depolama hesabına gönderir. Bu senaryoda Özel Bağlantı depolama hesabına güvenli bir şekilde bağlanır.
- Depolama hesabı Front Door PoP'a bir yanıt gönderir.
- PoP, gelecekteki istekler için yanıtı önbelleğinde depolar.
- PoP, istemciye yanıtı döndürür.
- İnternet üzerinden depolama hesabına yapılan tüm doğrudan istekler Azure Depolama güvenlik duvarı tarafından engellenir.
Bileşenler
- Azure Depolama: Statik içeriği bloblarda depolar.
- Azure Front Door: İstemcilerden gelen bağlantıları alır, WAF ile tarar, istekleri güvenli bir şekilde depolama hesabına iletir ve yanıtları önbelleğe alır.
Alternatifler
Statik dosyaları başka bir bulut depolama sağlayıcısıyla veya kendi altyapınızda depolarsanız, bu senaryo büyük ölçüde geçerlidir. Ancak, kaynak sunucunuza gelen trafiğin Front Door üzerinden geldiğinin doğrulandığından emin olmanız gerekir. Depolama sağlayıcınız Özel Bağlantı desteklemiyorsa, Front Door hizmet etiketine izin vermek ve üst bilgiyi incelemek gibi alternatif bir yaklaşımı göz önünde bulundurun.
Senaryo ayrıntıları
Statik içerik teslimi, aşağıdakiler gibi birçok durumda faydalıdır:
- Web uygulaması için görüntüleri, CSS dosyalarını ve JavaScript dosyalarını teslim etme.
- PDF veya JSON dosyaları gibi dosya ve belgeleri sunma.
- Akış içermeyen video teslimi.
Statik içerik genellikle sık sık değişmez ve boyutu büyük olabilir, bu da performansı geliştirmek ve maliyetleri azaltmak için önbelleğe alma için idealdir.
Karmaşık senaryolarda tek bir Front Door profili hem statik hem de dinamik içerik sağlayabilir. Her içerik türü için ayrı kaynak grupları kullanabilir ve gelen istekleri uygun kaynakta yönlendirmek için yönlendirme özelliklerini kullanabilirsiniz.
Dikkat edilmesi gereken noktalar
Ölçeklenebilirlik ve performans
Azure Front Door, içerik teslim ağı (CDN) işlevi görür ve içeriği genel olarak dağıtılan POP'lerinde önbelleğe alır. Önbelleğe alınmış bir yanıt kullanılabilir olduğunda, Azure Front Door bunu hızla sunar ve performansı artırır ve kaynak üzerindeki yükü azaltır. PoP'de geçerli bir önbelleğe alınmış yanıt yoksa, Azure Front Door'un trafik hızlandırma özellikleri kaynaktan içerik teslimini hızlandırır.
Güvenlik
Kimlik Doğrulaması
Azure Front Door, İnternet'e yönelik senaryolar için tasarlanmıştır ve genel olarak erişilebilen bloblar için iyileştirilmiştir. Bloblara erişimin kimliğini doğrulamak için paylaşılan erişim imzalarını (SAS) kullanmayı göz önünde bulundurun. Azure Front Door'un kimliği doğrulanmamış istemcilere istek sunmasını önlemek için Sorgu Dizesi Kullan davranışını etkinleştirdiğinizden emin olun. Bu yaklaşım, farklı bir SAS'ye sahip her isteğin kaynakta gönderilmesi gerektiğinden önbelleğe alma etkinliğini sınırlayabilir.
Kaynak güvenliği
- Premium katmanı kullanıyorsanız, Azure Front Door Özel Bağlantı kullanarak Azure Depolama hesabına güvenli bir şekilde bağlanabilir. Depolama hesabı, yalnızca Azure Front Door tarafından kullanılan özel uç nokta üzerinden isteklere izin vererek genel ağ erişimini reddedecek şekilde yapılandırılabilir. Bu kurulum, tüm isteklerin Azure Front Door tarafından işlenmesini sağlar ve depolama hesabınızı doğrudan İnternet'te açığa çıkmaktan korur.
- Standart katmanı kullanıyorsanız, paylaşılan erişim imzası (SAS) ile isteklerin güvenliğini sağlayabilir ve istemcilerin isteklerine SAS'yi eklemesini sağlayabilir veya Azure Front Door kural altyapısını kullanarak ekleyebilirsiniz. Depolama hesabının ağ erişimi genel olarak erişilebilir olmalıdır (tüm ağlardan veya hizmet etiketindeki
AzureFrontDoor.BackendFront Door IP adreslerinden).
Özel alan adları
Azure Front Door özel etki alanı adlarını destekler ve bu etki alanları için TLS sertifikalarını yönetebilir. Özel etki alanlarının kullanılması, istemcilerin güvenilir bir kaynaktan dosya almasını ve TLS'nin Azure Front Door'a her bağlantıyı şifrelemesini sağlar. Azure Front Door'un TLS sertifikalarını yönetmesi, geçersiz veya eski sertifikalardan kaynaklanan kesintileri ve güvenlik sorunlarını önlemeye yardımcı olur.
Web Uygulaması Güvenlik Duvarı
Azure Front Door WAF'nin yönetilen kuralı, yaygın ve yeni ortaya çıkan güvenlik tehditleri için tarama isteklerini ayarlar. Hem statik hem de dinamik uygulamalar için WAF ve yönetilen kuralları kullanmanızı öneririz.
Ayrıca Azure Front Door WAF gerekirse hız sınırlama ve coğrafi filtreleme gerçekleştirebilir.
Dayanıklılık
Azure Front Door, genel olarak dağıtılmış bir mimariye sahip yüksek oranda kullanılabilir bir hizmettir ve tek tek Azure bölgelerindeki ve POP'lerdeki hatalara karşı dayanıklıdır.
Azure Front Door önbelleğini kullanmak depolama hesabınızdaki yükü azaltır. Depolama hesabınız kullanılamaz duruma gelirse Azure Front Door, uygulamanız kurtarılana kadar önbelleğe alınmış yanıtlar sunmaya devam edebilir.
Dayanıklılığı daha da geliştirmek için depolama hesabınızın yedekliliğini göz önünde bulundurun. Daha fazla bilgi için bkz. Azure Depolama yedekliliği. Alternatif olarak, Azure Front Door kaynak grubunuzda birden çok depolama hesabı dağıtın ve birden çok kaynak yapılandırın. Her kaynağın önceliğini yapılandırarak çıkış noktaları arasında yük devretme ayarlayın. Daha fazla bilgi için bkz . Azure Front Door'ta çıkış noktaları ve kaynak grupları.
Maliyet optimizasyonu
Önbelleğe alma, statik içerik sunma maliyetini azaltmaya yardımcı olur. Azure Front Door'un PoP'leri yanıtların kopyalarını depolar ve bu önbelleğe alınmış yanıtları sonraki istekler için teslim ederek kaynak üzerindeki istek yükünü azaltır. Yüksek ölçekli statik içerik çözümlerinde, özellikle de büyük dosyaları teslim edenlerde önbelleğe alma, trafik maliyetlerini önemli ölçüde azaltabilir.
Bu çözümde Özel Bağlantı kullanmak için Azure Front Door'un premium katmanını dağıtın. Depolama hesabınıza doğrudan trafiği engellemeniz gerekmiyorsa standart katman kullanılabilir. Daha fazla bilgi için bkz . Kaynak güvenliği.
Bu senaryoyu dağıtın
Bu senaryoya Bicep veya JSON ARM şablonlarını kullanarak dağıtmak için bu hızlı başlangıç bölümüne bakın.
Terraform kullanarak bu senaryoyu dağıtmak için bu hızlı başlangıca bakın.
Sonraki adım
Azure Front Door profili oluşturmayı öğrenin.