Споделяне чрез

Настройване на Azure Front Door със сайтове на Power Pages

  • Статия

Като създател на уеб сайтове можете да използвате Azure Front Door с Power Pages, за да използвате кеширането на ръба и защитната стена на уеб приложения (WAF). В тази статия ще научите как да настроите Azure Front Door с Power Pages.

Бележка

Следвайте тези стъпки, за да настроите Azure Front Door с Power Pages:

  1. Настройте крайната точка Azure Front Door и персонализираното име на домейн, което потребителите на уебсайта ще използват.
  2. Конфигурирайте сайта Power Pages си като източник.
  3. Настройте правила за маршрутизиране за кеширане на статични заявки.
  4. Настройте WAF правила за анализ на входящите заявки.
  5. Настройте сайта да приема трафик само от Azure Front Door.

Настройте крайната точка на Azure Front Door и персонализираното име на домейн

В този раздел ще научите как да настроите услугата Azure Front Door и да активирате персонализирано име на домейн за тази настройка.

Предварителни изисквания

  • Абонамент за Azure с достъп за създаване на нови услуги.

  • Персонализирано име на домейн и достъп до доставчика на DNS за настройка на потребителско име на домейн.

  • SSL сертификат, който ще се използва за потребителското име на домейн. Сертификатът трябва да отговаря на минималните изисквания за Power Pages.

  • Достъп на собственика до Power Pages, за да настроите персонализираното име на домейн.

Настройване на крайната точка на Azure Front Door

Бележка

Ако вече сте създали ресурса на Azure Front Door, преминете към стъпка 3 от следната процедура.

  1. Влезте в Портал на Azure и създайте нов ресурс на Azure Front Door (стандарт или премиум). Повече информация: Бърз старт: Създайте стандартен/премиум профил на Azure Front Door - портал на Azure

    Създаване на ресурс на Azure Front Door.

  2. Изберете Бързо създаване.

    Съвет

    Повечето от настройките на Azure Front Door могат да бъдат променени по-късно.

    Създаване на Azure Front Door и настройки.

  3. Изберете или попълнете следните подробности, за да конфигурирате ресурса.

    Опция Описание
    Детайли за проекта Настройки, свързани с организацията на ресурсите, подобно на всеки друг ресурс на Azure.
    Абонамент Изберете абонамента, където ще бъде създаден ресурсът на Azure Front Door.
    Група ресурси Изберете групата ресурси за Azure Front Door. Можете също да създадете нова група ресурси.
    Местоположение на група ресурси Местоположението на групата ресурси.
    Детайли за профила Конфигурацията за Azure Front Door.
    Име Име на ресурса на Azure Front Door.
    Ниво Изберете ниво за ресурса на Azure Front Door. За тази статия избрахме Premium ниво, което позволява достъп до управлявания от Microsoft набор от правила и набор от правила за предотвратяване на ботове за WAF.
    Настройки на крайната точка Настройки за крайната точка на Azure Front Door.
    Име на крайна точка Въведете име за заявките си за Azure Front Door. Това име е действителният URL адрес, който ще обслужва трафика за потребителите. По-късно ще настроим персонализирано име на домейн, което сочи към този URL адрес.
    Тип произход Изберете Персонализирано.
    Име на хост на произход Името на хоста на вашия сайт на Power Pages.
    Формат: yoursitename.powerappsportals.com или yoursitename.microsoftcrmportals.com без https:// в началото.
    Например, contoso.powerappsportals.com
    Частна връзка Не активирайте услугата за частни връзки.
    Кеширане Разрешаване на кеширане. Кеширането използва възможности за кеширане на ръбове за статично съдържание.
    Кеширането се обсъжда допълнително в "Задайте правила за маршрутизиране, за да кеширате статични заявки" по-късно в тази статия.
    Поведение на кеширане на низ от заявки Изберете Използвайте низ за заявка. Тази опция ще гарантира, че ако дадена страница има динамично съдържание, което отговаря на низа на заявката, тя взема под внимание низа на заявката.
    Компресия Активирайте компресията.
    Политика за WAF Създайте нова политика за WAF или използвайте съществуваща такава.
    За информация относно политиката на WAF отидете на „Настройте правила на WAF за анализ на входящи заявки“ по-късно в тази статия, а също Урок: Създайте политика за защитна стена на уеб приложение на Azure Front Door с помощта на портала на Azure.

  4. Изберете Преглед + Създаване и изчакайте настройката да приключи. Това обикновено отнема от 5 до 10 минути.<

  5. Потвърдете настройката, като прегледате URL адреса на крайната точка (например, contoso.example.azurefd.net) и да проверите дали показва съдържанието от вашия сайт на Power Pages.

    Преглед на крайна точка.

    Съвет

    Ако видите отговор „404 не е намерено“, настройката може да не е приключила. Изчакайте малко и опитайте отново.

Задайте име на домейн по избор

Досега крайната точка на Azure Front Door е настроена да обслужва трафик от бекенда на Power Pages. Тази настройка обаче все още използва URL адреса на Azure Front Door, което ще причини проблеми като грешки при проверка на captcha или проблеми с мащабирането.

Уеб браузърите отхвърлят бисквитките, зададени от Power Pages, когато използвате URL адрес на крайната точка на Azure Front Door, който е различен от URL адреса на вашия сайт. Следователно трябва да настроите персонализирано име на домейн както за вашия сайт, така и за крайната точка на Azure Front Door.

  1. Настройте персонализирано име на домейн на вашия сайт. Повече информация: Добавете име на домейн по избор.

  2. Активирайте името на потребителския домейн на вашия сайт в ресурса на Azure Front Door, като направите следното:

    1. Актуализирайте вашия доставчик на DNS, като премахнете записа CNAME, създаден по-рано по време на настройката на персонализиран домейн за Power Pages. Трябва да се актуализира само CNAME; не премахвайте името на хоста на източника. DNS ще насочи CNAME към крайната точка на Azure Front Door. Единствената цел за добавяне на CNAME беше да се гарантира, че персонализираното име на хост ще присъства в Power Pages. Това присъствие гарантира, че Power Pages могат да обслужват трафик към това име на персонализиран домейн през Azure Front Door, а всички бисквитки на сайта също ще имат правилно настроен домейн.

    2. Настройте персонализираното име на домейн в крайната точка на Azure Front Door, като изпълните следните стъпки: Създайте персонализиран домейн на стандартния/премиум SKU на Azure Front Door с помощта на портала на Azure.

  3. Проверете следното, за да потвърдите настройката:

    1. Персонализираното име на домейн посочва крайната точка на Azure Front Door. Използвайте nslookup, за да проверите дали CNAME запис в крайната точка на Azure Front Door е върнат правилно. Ако записът CNAME все още сочи към Power Pages, трябва да коригирате това.

    2. Преглеждането на персонализираното име на домейн показва страницата на вашия уеб сайт на Power Pages.

След като изпълните тези стъпки, имате завършена основна крайна точка на Azure Front Door за уеб сайта. В следващите стъпки ще актуализирате различни настройки и правила, за да направите тази конфигурация по-ефективна и по-добра при обработката на различни случаи на използване.

Конфигурирайте сайта си като първоначален сървър

Следващата стъпка е да оптимизирате настройките на сървъра -източник, за да сте сигурни, че настройката работи правилно. Използвайте Мениджър на крайни точки в конфигурациите на Azure Front Door на портала на Azure, за да актуализирате настройките на групата за произход.

Мениджър на крайни точки.

По време на настройката за бързо създаване, която извършихте по-рано, въведохте подробности за крайната точка, които автоматично създадоха конфигурацията с името default-origin-group(associated) (това име може да варира в зависимост от локалните настройки). За тази стъпка ще промените настройките за default-origin-group. Следното изображение показва как изглеждат настройките за тази стъпка, когато отворите групата за произход за първи път.

Първоначална група, както е видяна за първи път.

Произходът в Azure Front Door представлява бекенд услугата, към която се свързват крайните сървъри на Azure Front Door, за да обслужва съдържанието на потребителите. Можете да добавите множество източници към вашия екземпляр на Azure Front Door, за да получите съдържание от множество back-end услуги.

Съвет

Power Pages осигурява висока наличност на своя сервизен слой, следователно един сървър за произход е достатъчен при настройване на източници за сайтове.

Единият източник за сайтове на Power Pages трябва да сочи към името на хоста на вашия сайт (което сте настроили по-рано). Ако не сте следвали стъпките за бързо създаване, можете да добавите нов произход, който сочи към името на хоста на вашия сайт.

Следното изображение показва пример за конфигурация на източника.

Конфигуриране на произход.

Използвайте следните настройки, за да конфигурирате произхода на сайтовете на Power Pages.

Опция Тип или стойност на конфигурация
Тип произход Изберете Персонализирано.
Име на хост на произход Въведете името на хоста на вашия сайт. Например, contoso.powerappsportals.com
Заглавка на хоста на произход Въведете вашето персонализирано име на домейн или оставете празно. Първият гарантира, че Azure Front Door изпраща заглавката на източника като име на персонализиран домейн; последното го кара да премине през това, което потребителят е предоставил, докато прави заявката.
HTTP порт 80
HTTPS порт 443
Приоритет 1
Тегло 1000
Частна връзка Забранени
Статус Изберете Активирайте този произход квадратче за отметка.

След като конфигурирате източника и се върнете към групата на източника, актуализирайте настройките за здравни сонди и опции за балансиране на натоварването, както е описано в следващата таблица.

Опция Тип или стойност на конфигурация
Здравни сонди Здравните сонди са механизъм, който да гарантира, че услугата за произход е работеща и да взема решения за маршрутизиране на трафика в зависимост от резултатите от сондата. В този случай не се нуждаем от здравни сонди, затова го изключихме.
Балансиране на натоварването Тъй като имаме настроен единствен произход и здравните сонди са изключени, тази настройка няма да играе никаква роля в тази настройка.

Проверете дали конфигурацията на групата на произход изглежда като следното изображение.

Валидиране на конфигурацията на произход.

Задайте правила за маршрутизиране, за да кеширате статични заявки

Маршрутите определят как използваме възможностите за кеширане на ръбове на Azure Front Door, за да подобрим мащабируемостта на сайт. Настройването на маршрути също е важна стъпка, за да се гарантира, че не кешираме динамично съдържание, обслужвано от сайта, което може да доведе до непреднамерен достъп до данни.

Конфигуриране на маршрути

За настройка на правилата ще трябва да направим следното:

  1. Настройте конфигурация на маршрута.
  2. Настройване на набор от правила.
  3. Свържете набора от правила с маршрут.
  4. Проверете правилата и конфигурацията на маршрута.

Настройте конфигурацията на маршрута

За да настроите конфигурация на маршрут, изберете Мениджър на крайни точки в левия прозорец изберете Маршрути и след това изберете маршрута по подразбиране. Маршрутът по подразбиране се създава по време на настройката за бързо създаване.

Конфигуриране на маршрут.

Актуализиране на конфигурацията на маршрут, както е описано в следващата таблица.

Опция Конфигурация
Раздел Домейни
Домейни Името на домейна, което сте използвали при настройването на персонализираното име на домейн по-рано.
Модели, които да съвпадат Настроен на /* (стойност по подразбиране); всички заявки за сайт ще бъдат изпратени до същия източник в нашата настройка.
Приети протоколи Настроен на Само HTTPS за да се гарантира сигурността на целия обслужван трафик.
Пренасочване Изберете Пренасочете целия трафик, за да използвате HTTPS квадратче за отметка.
Раздел "Група произход"
Произходна група Задайте групата на произход, която сте дефинирали по-рано.
Път на произход Оставете празно.
Препращащ протокол Задайте или на Само HTTPS, или на Съпоставете входящата заявка.
Секция за кеширане
Кеширане Изберете Активиране на кеширането отметка, ако искате да използвате кеширане на ръбове.
Поведение на кеширане на низ от заявки Изберете Използвайте низ н заявка за да се гарантира, че динамичното съдържание, базирано на низа на заявката, може да бъде обслужвано.
Компресия Изберете Активирайте компресията за оптимизиране на доставката на съдържание.

Настройте набор от правила

Наборите от правила определят как съдържанието трябва да се кешира. Тази стъпка е важна, защото управлява как съдържанието да се кешира от крайните сървъри, за да се подобри мащабирането на сайта. Неправилно конфигурираният набор от правила обаче може да доведе до кеширане на динамично съдържание, което трябва да се обслужва специално за всеки отделен потребител.

За да настроите правилно набора от правила, важно е да разберете типа съдържание, което вашият сайт обслужва. Това разбиране ви помага да конфигурирате набора от правила, като използвате ефективни правила. За сценария в тази статия сайтът използва динамично съдържание на всички страници и обслужва и статични файлове; следователно сайтът се опитва да постигне следното:

  • Всички статични файлове се кешират и обслужват от крайните сървъри.
  • Никое от съдържанието на страницата не се кешира.

Конфигуриране на този набор от правила

  1. В левия прозорец изберете Набор от правила, след което изберете Добавете набор от правила.

    Конфигуриране на набор от правила.

  2. Въведете име на набор от правила и след това го запазете.

    Създаване на нов набор от правила.

Сега, нека конфигурираме набора от правила въз основа на бизнес изискването, със следната конфигурация, за да отговаря на изискванията за споменатия по-горе сценарий.

Изискване: Всички статични файлове се кешират и обслужват от крайните сървъри

Сайтът в този сценарий може да съдържа статични файлове с разширения на имена на файлове .css, .png, .jpg, .js, .svg, .woff или .ico. Следователно, имаме нужда от правило, за да оценим разширението на името на файла на заявката и да проверим за конкретни типове файлове.

Бележка

Има и други начини да напишете това правило, например като използвате URL адреса на заявката или името на файла. За повече информация относно правилата за съответствие на предните врати на Azure отидете на Система за правила на Azure Front Door за условия за съвпадение.

Пример Условие за заявка за разширение на файл.

В следната конфигурация на действие вие замествате заглавката на кеша, зададена от Power Pages, така че тези файлове да се кешират малко по-дълго в браузъра. По подразбиране Power Pages задават изтичане на кеширането на един ден. Но ние ще отменим това в този сценарий и ще го зададем на седем дни, като настроим Изтичане на кеша действие и настройка Поведение на кеша на Замяна както е показано на следното изображение.

Пример за действие за изтичане на кеша.

В края пълното правило изглежда като следното изображение.

Окончателно правило за разширение на файла.

Изискване: Никое от съдържанието на страницата не се кешира

Като цяло настройката на сайт на Power Pages гарантира, че ако дадена страница има вграден формуляр (което означава, че показва съдържание, специфично за запис), нейната стойност на заглавката Контрола за кеша ще бъде зададена на частно , което гарантира, че Azure Front Door няма да кешира тази заявка. Този метод обаче не взема предвид сценариите, при които използвате течни шаблони за вграждане на специфично за потребителя съдържание на страниците, като например показване на конкретен запис на набор от потребители. Следователно ще добавим изрично правило, за да гарантираме, че никоя страница на уеб сайта не се кешира.

Първата стъпка е настройването на условието. Условието прави обратна проверка на това, което направихме в първото правило, и проверява дали заявката не включва разширение на име на файл, което сочи към един от типовете файлове, които искаме да кешираме.

Пример за неравно условие за заявка за разширение на файл.

В условието за действие, подобно на предишното правило, ще напишем действие за Изтичане на кеша. Този път обаче ще настроим поведението на Заобикаляне на кеша. Това ще гарантира, че всяка заявка, която отговаря на това правило, няма да бъде кеширана.

Конфигурация на изтичане на кеша.

Пълното правило изглежда като следното изображение.

Пълно правило за кеша на съдържанието на страницата.

Свържете набора от правила с маршрут

След като сте създали набор от правила, следващата стъпка е да го свържете с маршрут.

  1. Изберете набора от правила и след това изберете Свържете маршрут в командната лента.

    Изберете, за да свържете маршрут с набор от правила.

  2. Изберете името на крайната точка и наличния маршрут. Възможно е да има няколко маршрута, така че изберете този, който сте конфигурирали по-рано.

    Свържете маршрут

  3. Ако имате няколко набора от правила и искате да дефинирате реда, по който трябва да се оценяват, изберете Променете поръчките за набор от правила и конфигурирайте поръчката. Нашият примерен сценарий има само един набор от правила.

    Променете реда на наборите от правила.

  4. Изберете Готово, за да завършите.

Потвърдете правилата и конфигурацията на маршрута

За да потвърдите, че правилата и конфигурациите на маршрута работят правилно, уверете се, че целият трафик се обслужва чрез HTTPS и правилата за кеширане се оценяват правилно.

За да се гарантира, че целият трафик се обслужва чрез HTTPS и всички HTTP повиквания се пренасочват към HTTPS

  • Въведете името на домейна в браузър и се уверете, че URL адресът автоматично се променя на HTTPS, докато се изобразява съдържанието.

Да се гарантира, че правилата за кеширане се оценяват и работят според очакванията

За да проверим правилата за кеширане, ще трябва да анализираме мрежовите следи в лентата с инструменти за разработчици на уеб браузър, за да проверим дали кеширащите заглавки за различни типове съдържание са настроени правилно.

Бележка

Отразяването на промените на правилото може да отнеме до 10 минути.

  1. Отворете нов раздел на браузъра, отворете лентата с инструменти за програмисти и отворете URL адреса на сайта на Power Pages (уверете се, че сте отворили лентата с инструменти за програмисти, преди да прегледате URL адреса).

  2. Отидете в раздела мрежа, за да видите всички мрежови заявки.

  3. Изберете заявка за всеки CSS файл от списъка с заявки.

    В Заглавки на отговорите раздел на детайлите на заявката, уверете се, че заглавка с име x-cache присъства. Тази заглавка гарантира, че заявката се обслужва чрез крайни сървъри и може да бъде кеширана. Ако стойността на x-cache е зададена на CONFIG_NOCACHE или всяка друга стойност, съдържаща термина NOCACHE, настройката не е правилна.

    Заглавната част на отговора, наречена x-cache със стойност на кеша.

  4. Подобно на предишната стъпка, изберете заявка Страница и проверете неговите заглавки. Ако x-cache е зададено на CONFIG_NOCACHE, настройката ви работи правилно.

    Заглавна част на отговора, наречена x-cache със стойност CONFIG_NOCACHE за страница.

Настройте WAF правила за анализ на входящи заявки

Следващата стъпка в настройката е да конфигурирате правилата на WAF за входящи заявки. В тази статия ще разгледаме само основните стъпки. За разширена конфигурация на WAF отидете на Защитна стена на уеб приложение на Azure на Azure Front Door.

  1. В левия прозорец изберете Защита.

    Раздел за защита на конфигурацията за Azure Front Door.

    По време на настройката за бързо създаване вече създадохме нова политика на WAF, която се показва тук. Ако обаче сте пропуснали тази стъпка, можете да настроите нова политика, като изберете Създаване.

  2. Изберете име на политика за WAF.

  3. Изберете Настройки на политиката и след това:

    1. Разрешаване на проверка на тялото на заявката: Поставете отметка в това квадратче, ако искате тялото на заявката да бъде проверено в допълнение към бисквитките, заглавките и URL адресите.

    2. URL адрес за пренасочване: Въведете URL адрес, който не е на сайта. Този URL адрес е мястото, където потребителят ще бъде пренасочен, ако WAF правило е настроено да пренасочва. Уверете се, че този URL е достъпен публично и анонимно.

    3. Код на състоянието на заявката за блокиране: Този код на състоянието на HTTP се връща на потребителя, ако заявката е блокирана от WAF.

    4. Блокиране на тялото на отговора: Можете да добавите персонализирано съобщение тук, което ще се покаже на потребителя, ако заявката е блокирана от WAF.

    Настройки на правилата за WAF.

  4. За да конфигурирате набора от правила, спрямо който ще се оценява всяка заявка, направете следното:

    1. В левия прозорец изберете Управлявани правила.

      Управлявани правила - набор от правила

    2. В командната лента изберете Присвояване и след това изберете от списъка с набори правила по подразбиране. Управляваните набори от правила се управляват от Microsoft и се актуализират редовно. За повече информация относно наборите от правила, отидете на DRS групи правила и правила за защитни стени на уеб приложения.

      Управление на набора правила - Присвояване

След като е зададен управлявания набор от правила, настройката ви е завършена. Като допълнителна стъпка можете също да разгледате настройването на списъци за изключване за съществуващи правила и активиране на персонализирани правила.

Важно

По подразбиране WAF е настроен в Политика за откриване режим, който открива проблеми спрямо определения набор от правила и ги регистрира. Този режим обаче не блокира заявките. За да блокирате заявки, WAF трябва да бъде превключен на режим Предотвратяване.

Препоръчваме ви да извършите задълбочено тестване в режим Предотвратяване, за да проверите дали всички сценарии работят и да се уверите, че не е нужно да променяте набора от правила или да добавяте правила за изключване. Трябва да активирате режима за предотвратяване само след като сте проверили, че цялата настройка работи според очакванията.

Задайте Power Pages да приема трафик само от Azure Front Door

Последната стъпка в тази настройка е да се гарантира, че вашият сайт на Power Pages приема трафик само от Azure Front Door. За тази проверка ще трябва да активираме Ограничения за IP адреси на сайта.

За да намерите диапазона от IP адреси, на които работи Azure Front Door, отидете на Как да заключа достъпа до задния край само до Azure Front Door?.

Бележка

Power Pages не поддържа базирано на X-Azure-FDID филтриране.

Увеличете времето за реакция на произхода

По подразбиране Azure Front Door има изчакване за отговор на произход от 60 секунди. Препоръчваме обаче да увеличите това до 240 секунди, за да гарантирате, че дългосрочните сценарии, като качване на файлове или експортиране в Excel, работят според очакванията.

  1. В левия прозорец изберете Мениджър на крайна точка.

    Изберете Мениджър на крайни точки.

  2. Изберете Редактиране на крайната точка.

    Изберете, за да редактирате крайната точка.

  3. В горния десен ъгъл изберете Свойства на крайна точка.

  4. Променете времето за отговор на произхода на 240 секунди и след това изберете Актуализиране.

    Задайте времето за отговор на източника на крайната точка на 240 секунди.

Вижте също

Какво е Azure входна врата?
Бърз старт: Създайте профил Azure Front Door - портал Azure
Създайте персонализиран домейн на Azure Front Door Standard/Premium SKU с помощта на портала Azure
Как да заключа достъпа до задната част само до Azure Front Door?
Azure Правила за предна врата Условия за съвпадение на двигателя