你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速入门:使用 Azure 门户创建 Azure Front Door

本快速入门指导你完成使用 Azure 门户创建 Azure Front Door 配置文件的过程。 有两个选项可用于创建 Azure Front Door 配置文件:“快速创建”和“自定义创建”。 “快速创建”选项可配置配置文件的基本设置,而“自定义创建”选项让你能够使用更高级的设置来自定义配置文件。

在本快速入门中,你将使用“自定义创建”选项创建 Azure Front Door 配置文件。 首先,将两个应用服务部署为源服务器。 然后,将 Azure Front Door 配置文件配置为根据特定规则将流量路由到应用服务。 最后,通过访问 Azure Front Door 前端主机名来测试与应用服务的连接。

使用 Azure 门户的 Front Door 部署环境示意图。

注意

对于 Web 工作负载,强烈建议使用 Azure DDoS 防护Web 应用程序防护墙来抵御新兴的 DDoS 攻击。 另一种选择是将 Azure Front Door 与 Web 应用程序防火墙一起使用。 Azure Front Door 提供平台级保护来抵御网络级 DDoS 攻击。 有关详细信息,请参阅 Azure 服务的安全基线

先决条件

具有活动订阅的 Azure 帐户。 免费创建帐户

创建 Front Door 配置文件 - 快速创建

  1. 登录 Azure 门户

  2. 若要为 Front Door 和 CDN 配置文件创建新资源,请导航到主页或 Azure 菜单,再选择“+ 创建资源”按钮。 然后,在搜索框中输入“Front Door 和 CDN 配置文件”,再选择“创建”。

  3. 在“比较产品/服务”页上选择“快速创建”。 然后选择“继续创建 Front Door”。

    比较产品/服务的屏幕截图。

  4. 在“创建 Front Door 配置文件”页上,提供所需的设置的以下信息。

    Front Door“快速创建”页的屏幕截图。

    设置 说明
    订阅 选择订阅。
    资源组 选择“新建”并在文本框中输入 myAFDResourceGroup。
    Name 为配置文件命名。 本示例使用 myAzureFrontDoor。
    选择“标准”或“高级”层。 标准层在内容传送方面经过优化。 高级层构建于标准层的基础之上,更注重安全性。 请参阅层级比较
    端点名称 为终结点输入全局唯一的名称。
    源服务器类型 选择源的资源类型。 本示例选择了一个已启用专用链接的应用服务作为源。
    源主机名 输入源的主机名。
    专用链接 如果想要在 Azure Front Door 与源之间建立专用连接,请启用专用链接服务。 仅支持内部负载均衡器、存储 Blob 和应用服务。 有关详细信息,请参阅 Azure Front Door 的专用链接服务
    缓存 若要使用 Azure Front Door 的边缘 POP 和 Microsoft 网络将内容全局缓存在更靠近用户的位置,请选中此复选框。
    WAF 策略 若要启用此功能,请选择“新建”或者从下拉列表中选择现有的 WAF 策略。

    注意

    创建 Azure Front Door 配置文件时,必须从创建了 Front Door 的同一订阅中选择一个源。

  5. 依次选择“查看 + 创建”、“创建”以部署 Azure Front Door 配置文件。

    注意

    • 可能需要几分钟时间才能将 Azure Front Door 配置传播到所有边缘 POP。
    • 如果启用了专用链接,请转到源的资源页。 选择“网络”>“配置专用链接”。 然后选择 Azure Front Door 中待处理的请求并选择“批准”。 几秒钟后,即可安全地通过 Azure Front Door 访问你的源。

创建 Front Door 配置文件 - 自定义创建

在上一教程中,你通过“快速创建”创建了一个 Azure Front Door 配置文件(“快速创建”使用基本配置创建了配置文件)。

使用“自定义创建”来创建一个 Azure Front Door 配置文件,并部署两个应用服务 - Azure Front Door 配置文件将这两个服务用作源。

创建两个 Web 应用实例

如果已有用作源的服务,请跳过为应用程序创建 Front Door

本示例演示任何创建两个在两个不同 Azure 区域部署的 Web 应用实例。 两个 Web 应用程序实例都在主动/主动模式下运行,这意味着它们都可处理传入流量。 此配置不同于主动/备用配置,其中一个实例充当另一个实例的备份。

若要为此示例创建两个 Web 应用,请执行以下步骤:

  1. 登录 Azure 门户

  2. 若要开始创建第一个 Web 应用,请选择门户左上角“+ 创建资源”按钮。 然后,在搜索框中键入“Web 应用”,在选择“创建”以继续配置。

  3. 在“创建 Web 应用”页的“基本信息”选项卡上填写所需信息。

    在 Azure 门户中快速创建 Azure Front Door 高级层。

    设置 说明
    订阅 选择订阅。
    资源组 选择“新建”并在文本框中输入 myAppResourceGroup。
    名称 输入 Web 应用的唯一名称。 本示例使用 webapp-contoso-001。
    发布 选择“代码”。
    运行时堆栈 选择“.NET Core 3.1 (LTS)”。
    操作系统 选择“Windows”。
    区域 选择“美国中部”。
    Windows 计划 选择“新建”,然后在文本框中输入“myAppServicePlanCentralUS”。
    SKU 和大小 选择“标准 S1: 总共 100 个 ACU,1.75 GB 内存”。
  4. 若要完成 Web 应用的创建,请选择“查看 + 创建”按钮,并验证设置的摘要。 然后,选择“创建”按钮来启动部署过程,这最多可能需要 1 分钟的时间。

  5. 若要创建第二个 Web 应用,请遵循与第一个 Web 应用相同的步骤,但在设置中进行以下更改:

    设置 说明
    资源组 选择“新建”,并输入 myAppResourceGroup2。
    名称 输入 Web 应用的唯一名称,在本示例中为 webapp-contoso-002。
    区域 一个不同的区域,本示例使用“美国中南部”
    “应用服务计划”>“Windows 计划” 选择“新建”并输入 myAppServicePlanSouthCentralUS,然后选择“确定”。

为应用程序创建 Front Door

在此步骤中,将设置 Azure Front Door,以便根据延迟将用户流量路由到最近的 Web 应用源。 需要应用 Web 应用程序防火墙 (WAF) 策略来保护 Azure Front Door 免受恶意攻击。

  1. 登录 Azure 门户

  2. 从主页或 Azure 菜单选择“+ 创建资源”,搜索“Front Door 和 CDN 配置文件”,然后选择“创建”。

  3. 在“比较产品/服务”页上选择“自定义创建”,然后选择“继续”以创建 Front Door。

  4. 在“基本信息”选项卡上,输入或选择以下信息,然后选择“下一步:机密”。

    创建 Front Door 配置文件

    设置
    订阅 选择订阅。
    资源组 选择“新建”并在文本框中输入 myAFDResourceGroup。
    资源组位置 选择“美国东部”
    名称 在此订阅中输入唯一名称 Webapp-Contoso-AFD
    选择“高级”。
  5. 可选机密。 如果你打算使用托管证书,可跳过此步骤。 如果在 Azure 中有一个现有的 Key Vault,它包含用于自定义域的证书,可选择“添加证书”。 也可稍后在管理体验中添加证书。

    注意

    要以用户的身份添加 Azure Key Vault 中的证书,必须拥有适当的权限。

    在“自定义创建”中添加机密的屏幕截图。

  6. 在“终结点”选项卡中,选择“添加终结点”,输入全局唯一名称(此示例使用 contoso-frontend),然后选择“添加”。 可以在部署后创建更多终结点。

    “添加终结点”的屏幕截图。

  7. 若要配置到 Web 应用源的路由,请选择“+ 添加路由”。

    从终结点页添加路由的屏幕截图。

  8. 在“添加路由”页上输入或选择以下信息,然后选择“添加”,将路由添加到终结点配置。

    添加路由配置页的屏幕截图。

    设置 说明
    Name 提供一个名称来标识域和源组之间的映射。
    系统已生成一个域名供你使用。 若要添加自定义域,请选择“添加新域”。 此示例使用默认域名。
    要匹配的模式 指定此路由接受的 URL。 此示例使用默认设置,该设置接受所有 URL 路径。
    接受的协议 选择路由接受的协议。 本示例既接受 HTTP 请求,又接受 HTTPS 请求。
    重定向 启用此设置,将所有 HTTP 请求重定向到 HTTPS 终结点。
    源组 若要创建新的源组,请选择“添加新的源组”,然后输入 myOriginGroup 作为源组名称。 接下来,选择“+ 添加源”,再输入 WebApp1 作为名称,输入“应用服务”作为源类型。 在“主机名”中,选择 webapp-contoso-001.azurewebsites.net,然后选择“添加”,将源添加到源组中。 重复上述步骤,将第二个 Web 应用添加为源,并将 WebApp2 用作名称,将 webapp-contoso-002.azurewebsites.net 用作主机名。 为每个源选择一个优先级,数字越小,优先级越高。 如果需要 Azure Front Door 为这两个源提供服务,请将优先级设为 1。 为每个源选择一个权重,权重确定流量如何路由到源。 如果需要将流量平均路由到两个源,请选择相等权重 1000。 添加两个 Web 应用源后,选择“添加”以保存源组配置。
    源路径 不要输入任何值。
    转发协议 选择源组接收的协议。 此示例使用与传入请求相同的协议。
    缓存 若要使用 Azure Front Door 的边缘 POP 和 Microsoft 网络将内容全局缓存到更靠近用户的位置,请勾选此复选框。
    规则 部署 Azure Front Door 配置文件后,可以使用规则来自定义路由。
  9. 选择“+ 添加策略”,将 Web 应用程序防火墙 (WAF) 策略应用到 Azure Front Door 配置文件中的一个或多个域。

    从终结点页添加策略的屏幕截图。

  10. 若要创建安全策略,请提供可唯一标识它的名称。 接下来,选择要将策略应用到的域。 还可选择现有 WAF 策略,或者创建新策略。 若要完成,请选择“保存”,将安全策略添加到终结点配置。

    “添加安全策略”页的屏幕截图。

  11. 若要部署 Azure Front Door 配置文件,请选择“查看 + 创建”,然后选择“创建”。 配置将在几分钟内传播到所有边缘位置。

验证 Azure Front Door

Azure Front Door 配置文件的全球部署需要几分钟才能完成。 之后,可以通过在浏览器中输入所创建的前端主机的终结点主机名来访问该主机。 例如 contoso-frontend.z01.azurefd.net。 请求会自动路由到源组中指定的服务器中最靠近的服务器。

如果在本快速入门中创建了应用,请执行以下步骤来测试即时全局故障转移功能。 你会看到一个信息页,上面显示了应用详细信息。

  1. 若要访问前端主机,请在浏览器中输入其终结点主机名,如前所述。 例如 contoso-frontend.z01.azurefd.net

  2. 在 Azure 门户的搜索框中,找到“应用服务”并将其选中。 从列表中找到其中一个 Web 应用,例如 WebApp-Contoso-001。

  3. 若要停止 Web 应用,请从列表中选择它,然后选择“停止”。 选择“是”以确认操作。

  4. 再次重新加载浏览器来查看信息页。

    提示

    流量可能需要一些时间才能切换到第二个 Web 应用。 可能需要再次重新加载浏览器。

  5. 若要停止第二个 Web 应用,请从列表中选择它,然后选择“停止”。 选择“是”以确认操作。

  6. 重新加载网页。 刷新后,应该会看到错误消息。

    Web 应用的两个实例都已停止

清理资源

完成任务后,可以删除你创建的所有资源。 移除资源组也会删除其内容。 为了产生不必要的费用,如果不打算使用此 Azure Front Door,建议删除这些资源。

  1. 在 Azure 门户中,使用搜索栏找到并选择“资源组”,或者从 Azure 门户菜单中导航到“资源组”。

  2. 使用筛选器选项或在列表上向下滚动来查找资源组,例如 myAFDResourceGroup、myAppResourceGroup 或 myAppResourceGroup2。

  3. 选择资源组,然后选择选项来删除资源组。

    警告

    删除资源组的操作不可逆。 资源组中的资源一旦删除就无法恢复。

  4. 输入资源组的名称进行确认,然后选择“删除”按钮。

  5. 为其余两个资源组重复这些步骤。

后续步骤

继续学习下一篇文章,了解如何为 Front Door 配置自定义域。