快速入門：建立 Azure Front Door 設定檔 - Azure 入口網站

本快速入門會引導您完成使用 Azure 入口網站建立 Azure Front Door 設定檔的程式。 您有兩個選項可建立 Azure Front Door 設定檔：快速建立和自訂建立。 [快速建立] 選項可讓您設定設定檔的基本設定，而 [自訂建立] 選項可讓您使用更進階的設定來自訂設定檔。

在本快速入門中，您會使用 [自訂建立] 選項來建立 Azure Front Door 設定檔。 您必須先將兩個應用程式服務部署為源伺服器。 然後，您可以設定 Azure Front Door 設定檔，以根據特定規則將流量路由傳送至您的應用程式服務。 最後，您可以藉由存取 Azure Front Door 前端主機名稱來測試應用程式服務的連線能力。

注意

對於 Web 工作負載，強烈建議使用 Azure DDoS 保護和 Web 應用程式防火牆 來防範新興的 DDoS 攻擊。 另一個選項是使用 Azure Front Door 以及 Web 應用程式防火牆。 Azure Front Door 提供 平台層級保護 ，以防止網路層級的 DDoS 攻擊。 如需詳細資訊，請參閱 Azure 服務 的安全性基準。

必要條件

具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。

建立 Front Door 設定檔 - 快速建立

1. 登入 Azure 入口網站。

2. 若要建立 Front Door 和 CDN 設定檔的新資源，請流覽至首頁或 Azure 功能表，然後選取 [+ 建立資源 ] 按鈕。 然後，在搜尋方塊中輸入 Front Door 和 CDN 設定檔 ，然後選取 [ 建立 ]。

3. 在 [ 比較供應專案] 頁面上，選取 [ 快速建立 ]。 然後選取 [ 繼續] 以建立 Front Door 。

   

4. 在 [ 建立 Front Door 設定檔 ] 頁面上，提供下列必要設定資訊。

   

   Settings	描述
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取 [新建 ]，然後在文字方塊中輸入 myAFDResourceGroup 。
   名稱	提供您的設定檔名稱。 此範例使用 myAzureFrontDoor 。
   層	選取 [標準] 或 [進階版層]。 標準層已優化內容傳遞。 進階版層建置在標準層上，並著重于安全性。 請參閱 階層比較 。
   端點名稱	輸入端點的全域唯一名稱。
   原點類型	選取來源的資源類型。 在此範例中，我們會選取 App Service 作為已啟用 Private Link 的來源。
   原始主機名稱	輸入來源的主機名稱。
   私人連結	如果您想要在 Azure Front Door 與來源之間建立私人連線，請啟用私人連結服務。 僅支援內部負載平衡器，儲存體 Blob 和應用程式服務。 如需詳細資訊，請參閱 使用 Azure Front Door 的私人連結服務。
   快取	如果您想要使用 Azure Front Door 的邊緣 POP 和 Microsoft 網路，在全域快取更接近使用者的內容，請選取核取方塊。
   WAF 原則	如果您想要啟用此功能，請從下拉式清單中選取 [新建 ] 或選取現有的 WAF 原則。

   注意

   建立 Azure Front Door 設定檔時，您必須從建立 Front Door 所在的相同訂用帳戶中選取來源。

5. 選取 [ 檢閱 + 建立]，然後選取 [ 建立 ] 以部署您的 Azure Front Door 設定檔。

   注意

   • 可能需要幾分鐘的時間，Azure Front Door 設定才會傳播到所有邊緣 POP。
   • 如果您已啟用 Private Link，請移至來源的資源頁面。 選取 [ 網路設定 > 私人連結]。 然後從 Azure Front Door 選取擱置的要求，然後選取 [ 核准 ]。 幾秒鐘之後，您的來源將會以安全的方式透過 Azure Front Door 存取。

建立 Front Door 設定檔 - 自訂建立

在上一個教學課程中，您已透過 快速建立來建立 Azure Front Door 設定檔，以基本設定建立設定檔。

您可以使用自訂建立來建立 Azure Front Door 設定檔 ，並部署 Azure Front Door 設定檔用來作為來源的兩個應用程式服務。

建立兩個 Web 應用程式實例

如果您已經有要作為來源的服務，請跳至 為您的應用程式 建立 Front Door。

此範例示範如何建立兩個部署在兩個不同 Azure 區域中的 Web 應用程式實例。 這兩個 Web 應用程式實例都會以主動/主動模式運作，這表示兩者都可以處理連入流量。 此組態與 Active/Stand-By 組態不同，其中一個實例會做為另一個實例的備份。

若要為此範例建立兩個 Web Apps，請遵循下列步驟：

1. 登入 Azure 入口網站。

2. 若要開始建立第一個 Web 應用程式，請選取 入口網站左上角的 [+ 建立資源 ] 按鈕。 然後，在搜尋方塊中輸入 Web 應用程式 ，然後選取 [建立 ] 以繼續進行設定。

3. 在 [ 建立 Web 應用程式] 頁面上，填入 [基本] 索引 標籤上 的必要資訊。

   

   設定	描述
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取 [ 新建 ]，然後在文字方塊中輸入 myAppResourceGroup 。
   名稱	輸入 Web 應用程式的唯 一名稱 。 此範例使用 webapp-contoso-001 。
   發行	選取 [程式碼]。
   執行階段堆疊	選取 [.NET Core 3.1][LTS]。
   作業系統	選取 [Windows]。
   區域	選取 [ 美國 中部]。
   Windows Plan	選取 [新建 ]，然後在文字方塊中輸入 myAppServicePlanCentralUS 。
   SKU 和大小	選取 [標準 S1 100 總計 ACU，1.75-GB 記憶體 ]。

4. 若要完成 Web 應用程式的建立，請選取 [ 檢閱 + 建立] 按鈕，並確認設定的摘要。 然後，選取 [ 建立] 按鈕以啟動部署程式，最多可能需要一分鐘的時間。

5. 若要建立第二個 Web 應用程式，請遵循與第一個 Web 應用程式相同的步驟，但在設定中進行下列變更：

   設定	描述
   資源群組	選取 [ 新建] ，然後輸入 myAppResourceGroup2 。
   名稱	在此範例中， 輸入 Web 應用程式的唯一名稱 webapp-contoso-002 。
   區域	在此範例中， 美國中南部的不同區域
   App Service 方案 > Windows 方案	選取 [ 新增 ]，然後輸入 myAppServicePlanSouthCentralUS ，然後選取 [ 確定 ]。

為您的應用程式建立 Front Door

在此步驟中，您會設定 Azure Front Door，根據延遲將使用者流量路由傳送至最近的 Web 應用程式來源。 您套用Web 應用程式防火牆 （WAF） 原則來保護 Azure Front Door 免于遭受惡意攻擊。

1. 登入 Azure 入口網站。

2. 從首頁或 Azure 功能表選取 [+ 建立資源 ]，搜尋 Front Door 和 CDN 設定檔 ，然後選取 [ 建立 ]。

3. 選取 [比較供應專案 ] 頁面上的 [自訂建立 ]，然後 選取 [繼續 ] 以建立 Front Door。

4. 在 [ 基本] 索引 標籤上，輸入或選取下列資訊，然後選取 [ 下一步：秘密 ]。

   

   設定	值
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取 [ 新建] ，然後在文字方塊中輸入 myAFDResourceGroup 。
   資源群組位置	選取 [美國東部]
   名稱	在此訂 用帳戶 Webapp-Contoso-AFD 中輸入唯一的名稱
   層	選取 [進階]。

5. 選擇性 ： 秘密 。 如果您打算使用受控憑證，可以略過此步驟。 如果您在 Azure 中有包含自訂網域憑證的現有金鑰保存庫，您可以選取 [ 新增憑證 ]。 您也可以稍後在管理體驗中新增憑證。

   注意

   若要以使用者身分從 Azure 金鑰保存庫新增憑證，您必須擁有適當的許可權。

   

6. 在 [ 端點] 索引標籤中，選取 [新增端點 ]，輸入全域唯一名稱（此範例使用 contoso-frontend），然後選取 [ 新增 ]。 您可以在部署之後建立更多端點。

   

7. 若要設定 Web 應用程式來源的路由，請選取 [+ 新增路由 ]。

   

8. 在 [ 新增路由 ] 頁面上輸入或選取下列資訊，然後選取 [ 新增 ] 以將路由新增至端點組態。

   

   設定	名描述
   Name	提供可識別網域與原始群組之間對應的名稱。
   網域	系統已產生功能變數名稱以供您使用。 若要新增自訂網域，請選取 [新增網域 ]。 此範例會使用預設功能變數名稱。
   要符合的模式	指定此路由接受的 URL。 此範例會使用預設設定，以接受所有 URL 路徑。
   接受的通訊協定	選擇路由接受的通訊協定。 此範例同時接受 HTTP 和 HTTPS 要求。
   重新導向	開啟此設定，將所有 HTTP 要求重新導向至 HTTPS 端點。
   原始群組	若要建立新的原始群組，請選取 [新增原始來源群組 ]，然後輸入 myOriginGroup 作為原始組名。 然後選取 [+ 新增來源]，然後針對 [來源 類型 ] 輸入 [名稱 ] 和 [應用程式服務 ] 輸入 WebApp1 。 在 [主機名稱] 中 ，選取 [webapp-contoso-001.azurewebsites.net ]，然後選取 [ 新增 ] 將來源新增至原始 群組。 重複步驟，將第二個 Web 應用程式新增為來源，並將 WebApp2 新增為 Name，webapp-contoso-002.azurewebsites.net 作為 主機名稱 。 為每個原始來源選擇優先級 ，其優先順序最低的數位。 如果您需要 Azure Front Door 同時提供這兩個來源，請使用優先順序 1。 為每個來源選擇權數，加權會決定流量如何路由傳送至來源。 如果需要將流量路由傳送至兩個來源，請使用相等權數 1000。 新增這兩個 Web 應用程式來源之後，請選取 [新增 ] 以儲存原始群組組態。
   來源路徑	請勿輸入任何值。
   轉寄通訊協定	選擇來源群組接收的通訊協定。 這個範例會使用與連入要求相同的通訊協定。
   快取功能	如果您想要使用 Azure Front Door 的邊緣 POP 和 Microsoft 網路，將內容快取到全域更接近您的使用者，請標示覆選框。
   規則	部署 Azure Front Door 設定檔之後，您可以使用規則來自訂路由。

9. 選取 [+ 新增原則 ]，將Web 應用程式防火牆 （WAF） 原則套用至 Azure Front Door 設定檔中的一或多個網域。

   

10. 若要建立安全性原則，請提供可唯一識別它的名稱。 接下來，選擇您要套用原則的網域。 您也可以選取現有的 WAF 原則或建立新的原則。 若要完成，請選取 [ 儲存 ] 將安全性原則新增至端點組態。

    

11. 若要部署 Azure Front Door 設定檔，請選取 [檢閱 + 建立 ]，然後 選取 [建立 ]。 設定會在幾分鐘內傳播到所有邊緣位置。

確認 Azure Front Door

Azure Front Door 設定檔的全域部署需要幾分鐘的時間才能完成。 之後，您可以在瀏覽器中輸入其端點主機名稱，以存取您建立的前端主機。 例如： contoso-frontend.z01.azurefd.net 。 要求會自動路由傳送至來源群組中指定伺服器之間的最接近伺服器。

若要測試立即全域容錯移轉功能，如果您在本快速入門中建立應用程式，請遵循下列步驟。 您會看到包含應用程式詳細資料的資訊頁面。

1. 若要存取前端主機，請在瀏覽器中輸入其端點主機名稱，如先前所述。 例如： contoso-frontend.z01.azurefd.net 。

2. 在Azure 入口網站中，從搜尋列中尋找並選取 [應用程式服務 ]。 從清單中找出其中一個 Web Apps，例如 WebApp-Contoso-001 。

3. 若要停止 Web 應用程式，請從清單中選取它，然後選取 [ 停止 ]。 選取 [ 是 ] 以確認您的動作。

4. 重載瀏覽器，再次查看資訊頁面。

   提示

   流量可能需要一些時間才能切換至第二個 Web 應用程式。 您可能需要再次重載瀏覽器。

5. 若要停止第二個 Web 應用程式，請從清單中選取它，然後選擇 [ 停止 ]。 選取 [ 是 ] 以確認您的動作。

6. 重載網頁。 重新整理之後，您應該會收到錯誤訊息。

   

清除資源

完成工作之後，您可以刪除您所建立的所有資源。 移除資源群組也會排除其內容。 為了避免產生不必要的費用，如果您不打算使用此 Azure Front Door，建議您刪除這些資源。

1. 在Azure 入口網站中，使用搜尋列尋找並選取 [資源群組 ]，或從 [Azure 入口網站] 功能表流覽至 [資源群組 ]。

2. 使用篩選選項或向下捲動清單來尋找資源群組，例如 myAFDResourceGroup、myAppResourceGroup 或 myAppResourceGroup2 。

3. 選擇資源群組，然後選取 [ 刪除 資源群組] 選項。

   警告

   刪除資源群組是無法復原的動作。 資源群組內的資源一旦刪除，將無法復原。

4. 輸入要確認的資源群組名稱，然後選取 [ 刪除] 按鈕。

5. 針對其餘兩個資源群組，請遵循相同的步驟。

下一步

請繼續進行下一篇文章，瞭解如何為您的 Azure Front Door 設定自訂網域。

新增自訂網域