استخدام Azure Front Door مع Azure Storage Blobs
يعزز Azure Front Door تسليم المحتوى الثابت من الكائنات الثنائية كبيرة الحجم ل Azure Storage، ما يوفر بنية آمنة وقابلة للتطوير. يعد هذا الإعداد مثاليا لحالات الاستخدام المختلفة، مثل استضافة موقع الويب وتسليم الملفات.
بناء الأنظمة
في هذه البنية المرجعية، يتم نشر حساب تخزين وملف تعريف Azure Front Door مع أصل واحد.
تدفق البيانات
البيانات تتدفق عبر السيناريو كما يلي:
- ينشئ العميل اتصالا آمنا ب Azure Front Door باستخدام اسم مجال مخصص وشهادة TLS المقدمة من Front Door. ينتهي الاتصال عند نقطة حضور Front Door قريبة (PoP).
- يقوم جدار حماية تطبيق الويب Azure Front Door (WAF) بمسح الطلب ضوئيا. إذا حدد WAF أن الطلب محفوف بالمخاطر للغاية، فإنه يحظر الطلب ويعيد استجابة خطأ HTTP 403.
- إذا كانت ذاكرة التخزين المؤقت ل Front Door PoP تحتوي على استجابة صالحة، فسترجع Front Door الاستجابة على الفور.
- إذا لم يكن الأمر كذلك، يرسل PoP الطلب إلى حساب التخزين الأصلي باستخدام شبكة Microsoft الأساسية، باستخدام اتصال TCP منفصل طويل الأمد. في هذا السيناريو، يتصل Private Link بشكل آمن بحساب التخزين.
- يرسل حساب التخزين استجابة إلى Front Door PoP.
- يخزن PoP الاستجابة في ذاكرة التخزين المؤقت الخاصة به للطلبات المستقبلية.
- يقوم PoP بإرجاع الاستجابة إلى العميل.
- يتم حظر أي طلبات مباشرة إلى حساب التخزين من خلال الإنترنت بواسطة جدار حماية Azure Storage.
المكونات
- تخزين Azure: يخزن المحتوى الثابت في الكائنات الثنائية كبيرة الحجم.
- Azure Front Door: يتلقى الاتصالات الواردة من العملاء، ويفحصها باستخدام WAF، ويحيل الطلبات بأمان إلى حساب التخزين، ويخزن الاستجابات مؤقتا.
البدائل
إذا قمت بتخزين الملفات الثابتة مع موفر تخزين سحابي آخر أو على البنية الأساسية الخاصة بك، فلا يزال هذا السيناريو ينطبق إلى حد كبير. ومع ذلك، تحتاج إلى التأكد من التحقق من نسبة استخدام الشبكة الواردة إلى خادم الأصل الخاص بك لتأتي من خلال Front Door. إذا كان موفر التخزين الخاص بك لا يدعم Private Link، ففكر في X-Azure-FDID استخدام نهج بديل مثل السماح بعلامة خدمة Front Door وفحص العنوان.
تفاصيل السيناريو
يعد تسليم المحتوى الثابت مفيدا في العديد من الحالات، مثل:
- تسليم الصور وملفات CSS وملفات JavaScript لتطبيق ويب.
- تقديم الملفات والمستندات، مثل ملفات PDF أو JSON.
- تقديم فيديو غير متلقين للمعلومات.
عادة لا يتغير المحتوى الثابت بشكل متكرر ويمكن أن يكون كبيرا الحجم، ما يجعله مثاليا للتخزين المؤقت لتحسين الأداء وتقليل التكاليف.
في السيناريوهات المعقدة، يمكن أن يخدم ملف تعريف Front Door واحد المحتوى الثابت والديناميكي. يمكنك استخدام مجموعات أصل منفصلة لكل نوع من أنواع المحتوى واستخدام قدرات التوجيه لتوجيه الطلبات الواردة إلى الأصل المناسب.
الاعتبارات
قابلية التوسع والأداء
يعمل Azure Front Door كشبكة تسليم محتوى (CDN)، والتخزين المؤقت للمحتوى في الملوثات العضوية الثابتة الموزعة عالميا. عند توفر استجابة مخزنة مؤقتا، يخدمها Azure Front Door بسرعة، ما يعزز الأداء ويقلل الحمل على الأصل. إذا كان PoP يفتقر إلى استجابة مخزنة مؤقتا صالحة، فإن إمكانات تسريع نسبة استخدام الشبكة في Azure Front Door تسرع تسليم المحتوى من الأصل.
الأمان
المصادقة
تم تصميم Azure Front Door للسيناريوهات التي تواجه الإنترنت وتم تحسينه للكائنات الثنائية كبيرة الحجم التي يمكن الوصول إليها بشكل عام. لمصادقة الوصول إلى الكائنات الثنائية كبيرة الحجم، ضع في اعتبارك استخدام توقيعات الوصول المشترك (SAS). تأكد من تمكين سلوك استخدام سلسلة الاستعلام لمنع Azure Front Door من تقديم الطلبات للعملاء غير المصادق عليهم. قد يحد هذا النهج من فعالية التخزين المؤقت، حيث يجب إرسال كل طلب مع SAS مختلف إلى الأصل.
أمان الأصل
- إذا كنت تستخدم المستوى المتميز، يمكن ل Azure Front Door الاتصال بأمان بحساب Azure Storage باستخدام Private Link. يمكن تكوين حساب التخزين لرفض الوصول إلى الشبكة العامة، ما يسمح بالطلبات فقط من خلال نقطة النهاية الخاصة المستخدمة من قبل Azure Front Door. يضمن هذا الإعداد معالجة جميع الطلبات بواسطة Azure Front Door، وحماية حساب التخزين الخاص بك من التعرض المباشر للإنترنت.
- إذا كنت تستخدم المستوى القياسي، يمكنك تأمين الطلبات بتوقيع وصول مشترك (SAS) وإما أن يكون لدى العملاء تضمين SAS في طلباتهم أو استخدام محرك قواعد Azure Front Door لإرفاقه. لاحظ أنه يجب الوصول إلى شبكة حساب التخزين بشكل عام (من جميع الشبكات أو من عناوين IP للواجهة الأمامية في علامة خدمة AzureFrontDoor.Backend).
أسماء المجالات المخصصة
يدعم Azure Front Door أسماء المجالات المخصصة ويمكنه إدارة شهادات TLS لهذه المجالات. يضمن استخدام المجالات المخصصة تلقي العملاء الملفات من مصدر موثوق به، مع تشفير TLS لكل اتصال ب Azure Front Door. تساعد إدارة Azure Front Door لشهادات TLS على تجنب الانقطاعات ومشكلات الأمان من الشهادات غير الصالحة أو القديمة.
جدار حماية تطبيق الويب
تقوم قاعدة Azure Front Door المدارة من WAF بتعيين طلبات الفحص بحثا عن تهديدات الأمان الشائعة والناشئة. نوصي باستخدام WAF والقواعد المدارة لكل من التطبيقات الثابتة والديناميكية.
بالإضافة إلى ذلك، يمكن ل Azure Front Door WAF إجراء تحديد المعدل والتصفية الجغرافية إذا لزم الأمر.
مرونة
Azure Front Door هي خدمة متوفرة بشكل كبير مع بنية موزعة عالميا، ما يجعلها مرنة في مواجهة حالات الفشل في مناطق Azure الفردية وعناوين PoPs.
يؤدي استخدام ذاكرة التخزين المؤقت ل Azure Front Door إلى تقليل الحمل على حساب التخزين الخاص بك. إذا أصبح حساب التخزين الخاص بك غير متوفر، فقد يستمر Azure Front Door في تقديم الاستجابات المخزنة مؤقتا حتى يسترد التطبيق الخاص بك.
لتحسين المرونة بشكل أكبر، ضع في اعتبارك تكرار حساب التخزين الخاص بك. لمزيد من المعلومات، راجع تكرار Azure Storage. بدلا من ذلك، انشر حسابات تخزين متعددة وقم بتكوين أصول متعددة في مجموعة أصل Azure Front Door. إعداد تجاوز الفشل بين الأصول عن طريق تكوين أولوية كل أصل. لمزيد من المعلومات، راجع الأصول ومجموعات الأصل في Azure Front Door.
تحسين التكلفة
يساعد التخزين المؤقت على تقليل تكلفة تقديم محتوى ثابت. يخزن PoPs الخاص ب Azure Front Door نسخا من الاستجابات ويمكنه تسليم هذه الاستجابات المخزنة مؤقتا للطلبات اللاحقة، ما يقلل من تحميل الطلب على الأصل. في حلول المحتوى الثابت على نطاق واسع، خاصة تلك التي تقدم ملفات كبيرة، يمكن أن يقلل التخزين المؤقت بشكل كبير من تكاليف حركة المرور.
لاستخدام Private Link في هذا الحل، انشر المستوى المتميز من Azure Front Door. يمكن استخدام المستوى القياسي إذا لم تكن بحاجة إلى حظر نسبة استخدام الشبكة المباشرة إلى حساب التخزين الخاص بك. لمزيد من المعلومات، راجع أمان الأصل.
نشر هذا السيناريو
لنشر هذا السيناريو باستخدام قوالب Bicep أو JSON ARM، راجع هذا التشغيل السريع.
لنشر هذا السيناريو باستخدام Terraform، راجع هذا التشغيل السريع.
الخطوات التالية
تعرف على كيفية إنشاء ملف تعريف Azure Front Door.