Rövid útmutató: Azure Front Door létrehozása az Azure CLI használatával

Ebben a rövid útmutatóban megtudhatja, hogyan hozhat létre Azure Front Doort az Azure CLI használatával. Állítson be egy profilt két Azure Web Apps-alkalmazással, és adjon hozzá egy WAF biztonsági szabályzatot. Végül az Azure Front Door végpont gazdagépneve használatával ellenőrizheti a webalkalmazásokkal való kapcsolatot.

Ha nem rendelkezik Azure-előfizetéssel, első lépésként hozzon létre egy ingyenes Azure-fiókot.

Előfeltételek

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

Erőforráscsoport létrehozása

Az Azure-ban a kapcsolódó erőforrások egy erőforráscsoporthoz vannak lefoglalva. Használhat egy meglévő erőforráscsoportot, vagy hozzon létre egy újat.

Erőforráscsoport létrehozásához futtassa az az group create parancsot .

az group create --name myRGFD --location centralus

Azure Front Door-profil létrehozása

Ezután hozza létre azt az Azure Front Door-profilt, amelyet a két App Services használ forrásként.

Azure Front Door-profil létrehozásához futtassa az az afd profile create parancsot.

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

Webalkalmazás két példányának létrehozása

Ebben a lépésben két webalkalmazás-példányt hoz létre, amelyek különböző Azure-régiókban futnak. Mindkét példány aktív/aktív módban működik, ami azt jelenti, hogy bármelyik képes kezelni a forgalmat. Ez a beállítás eltér az Active/Stand-By konfigurációtól, ahol egy példány feladatátvételként szolgál.

App Service-csomagok létrehozása

Először hozzon létre két App Service-csomagot: egyet az USA középső régiójában, egy másikat az USA keleti régiójában.

Futtassa a következő parancsokat az App Service-csomagok létrehozásához:

az appservice plan create \
    --name myAppServicePlanCentralUS \
    --resource-group myRGFD \
    --location centralus

az appservice plan create \
    --name myAppServicePlanEastUS \
    --resource-group myRGFD \
    --location eastus

Webalkalmazások létrehozása

Ezután hozzon létre egy webalkalmazást az előző lépésben létrehozott összes App Service-csomagban. A webalkalmazások nevének globálisan egyedinek kell lennie.

Futtassa a következő parancsokat a webalkalmazások létrehozásához:

az webapp create \
    --name WebAppContoso-01 \
    --resource-group myRGFD \
    --plan myAppServicePlanCentralUS

az webapp create \
    --name WebAppContoso-02 \
    --resource-group myRGFD \
    --plan myAppServicePlanEastUS

Jegyezze fel az egyes webalkalmazások alapértelmezett gazdagépneveit, mivel a következő lépésben meg kell határoznia a háttércímeket az Azure Front Door üzembe helyezésekor.

Azure Front Door létrehozása

Azure Front Door-profil létrehozása

Azure Front Door-profil létrehozásához futtassa az az afd profile create parancsot.

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

Végpont hozzáadása

Hozzon létre egy végpontot az Azure Front Door-profilban. A végpont a tartománynevekhez társított egy vagy több útvonal logikai csoportosítása. Minden végponthoz tartománynevet rendel az Azure Front Door, és a végpontokat egyéni tartományokkal társíthatja útvonalak használatával. Az Azure Front Door-profilok több végpontot is tartalmazhatnak.

Futtassa az az afd endpoint create parancsot egy végpont létrehozásához a profiljában.

az afd endpoint create \
    --resource-group myRGFD \
    --endpoint-name contosofrontend \
    --profile-name contosoafd \
    --enabled-state Enabled

Az Azure Front Door végpontjaival kapcsolatos további információkért tekintse meg az Azure Front Door végpontjait.

Forráscsoport létrehozása

Hozzon létre egy forráscsoportot, amely meghatározza az alkalmazáspéldányok forgalmát és várható válaszait. A forráscsoportok azt is meghatározzák, hogy az állapotminták hogyan értékelik ki a forrásokat.

Futtassa az az afd origin-group create parancsot a két webalkalmazást tartalmazó forráscsoport létrehozásához.

az afd origin-group create \
    --resource-group myRGFD \
    --origin-group-name og \
    --profile-name contosoafd \
    --probe-request-type GET \
    --probe-protocol Http \
    --probe-interval-in-seconds 60 \
    --probe-path / \
    --sample-size 4 \
    --successful-samples-required 3 \
    --additional-latency-in-milliseconds 50

Forrás hozzáadása a forráscsoporthoz

Adja hozzá a korábban forrásként létrehozott mindkét alkalmazáspéldányt az új forráscsoporthoz. Az Azure Front Door eredete azokra az alkalmazásokra vonatkozik, amelyekből az Azure Front Door lekéri a tartalmat, ha nincs engedélyezve a gyorsítótárazás, vagy ha a gyorsítótár nem működik.

Futtassa az az afd origin create parancsot az első alkalmazáspéldány forrásként való hozzáadásához a forráscsoporthoz.

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-01.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso1 \
    --origin-host-header webappcontoso-01.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

Ismételje meg ezt a lépést a második alkalmazáspéldány forrásként való hozzáadásához a forráscsoporthoz.

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-02.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso2 \
    --origin-host-header webappcontoso-02.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

Az eredetekkel, a forráscsoportokkal és az állapotmintáival kapcsolatos további információkért lásd : Origins and origin groups in Azure Front Door.

Útvonal hozzáadása

Adjon hozzá egy útvonalat, amely megfelelteti a korábban létrehozott végpontot a forráscsoportnak. Ez az útvonal továbbítja a végponttól érkező kéréseket a forráscsoportnak.

Futtassa az az afd route create parancsot a végpont forráscsoporthoz való leképezéséhez.

az afd route create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --endpoint-name contosofrontend \
    --forwarding-protocol MatchRequest \
    --route-name route \
    --https-redirect Enabled \
    --origin-group og \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled 

Ha többet szeretne megtudni az Azure Front Door útvonalairól, tekintse meg a forgalomirányítási módszereket a forráshoz.

Új biztonsági szabályzat létrehozása

Az Azure Front Dooron futó Azure Web Application Firewall (WAF) központosított védelmet biztosít a webalkalmazások számára, védve őket a gyakori biztonsági résekkel és biztonsági résekkel szemben.

Ebben az oktatóanyagban létrehoz egy WAF-szabályzatot, amely két felügyelt szabályt tartalmaz. WAF-szabályzatokat egyéni szabályokkal is létrehozhat.

WAF-szabályzat létrehozása

Futtassa az az network front-door waf-policy create parancsot egy új WAF-szabályzat létrehozásához az Azure Front Doorhoz. Ez a példa egy engedélyezett és megelőzési módban lévő szabályzatot hoz létre.

az network front-door waf-policy create \
    --name contosoWAF \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor \
    --disabled false \
    --mode Prevention

Az Azure Front Door WAF-szabályzatbeállításairól az Azure Front Door webalkalmazási tűzfalának szabályzatbeállításai című témakörben olvashat bővebben.

Felügyelt szabályok hozzárendelése a WAF-szabályzathoz

Az Azure által felügyelt szabálykészletekkel egyszerűen védheti az alkalmazást a gyakori biztonsági fenyegetések ellen.

Futtassa az az network front-door waf-policy managed-rules add parancsot a felügyelt szabályok WAF-szabályzathoz való hozzáadásához. Ez a példa Microsoft_DefaultRuleSet_2.1-et és Microsoft_BotManagerRuleSet_1.0-t ad hozzá a szabályzathoz.

az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_DefaultRuleSet \
    --action Block \
    --version 2.1 

az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_BotManagerRuleSet \
    --version 1.0

Ha többet szeretne megtudni a felügyelt szabályokról az Azure Front Doorban, tekintse meg a webalkalmazási tűzfal DRS-szabálycsoportjait és szabályait.

A biztonsági szabályzat alkalmazása

Most alkalmazza a WAF-szabályzatokat az Azure Front Doorra egy biztonsági szabályzat létrehozásával. Ez a beállítás az Azure által felügyelt szabályokat alkalmazza a korábban definiált végpontra.

Futtassa az az afd security-policy create parancsot a WAF-szabályzatnak a végpont alapértelmezett tartományára való alkalmazásához.

az afd security-policy create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --security-policy-name contososecurity \
    --domains /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Cdn/profiles/contosoafd/afdEndpoints/contosofrontend \
    --waf-policy /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/contosoWAF

Az Azure Front Door tesztelése

Az Azure Front Door-profil létrehozása után néhány percig tart, amíg a konfiguráció globálisan üzembe lesz helyezve. Miután elkészült, hozzáférhet a létrehozott előtér-gazdagéphez.

Futtassa az az afd endpoint show-t az Azure Front Door-végpont gazdagépnevének lekéréséhez.

az afd endpoint show --resource-group myRGFD --profile-name contosoafd --endpoint-name contosofrontend

A böngészőben lépjen a végpont gazdagépnevére: contosofrontend-<hash>.z01.azurefd.net. A kérés a forráscsoport legkevésbé látens webalkalmazásához lesz átirányítva.

Az azonnali globális feladatátvétel teszteléséhez kövesse az alábbi lépéseket:

1. Nyisson meg egy böngészőt, és nyissa meg a végpont állomásnevét: contosofrontend-<hash>.z01.azurefd.net.

2. Az az webapp stop futtatásával állítsa le az egyik Web Apps alkalmazást:

   az webapp stop --name WebAppContoso-01 --resource-group myRGFD
   

3. Frissítse a böngészőjét. Ugyanazt az információs oldalt kell látnia.

4. Állítsa le a másik webalkalmazást is:

   az webapp stop --name WebAppContoso-02 --resource-group myRGFD
   

5. Frissítse a böngészőjét. Ezúttal egy hibaüzenetnek kell megjelennie.

   

6. Indítsa újra az egyik Web Apps alkalmazást az az webapp start futtatásával. Frissítse a böngészőt, és a lapnak vissza kell térnie a normál állapotba.

   az webapp start --name WebAppContoso-01 --resource-group myRGFD
   

Az erőforrások eltávolítása

Ha már nincs szüksége az Azure Front Doorhoz létrehozott erőforrásokra, törölheti az erőforráscsoportot. Ez a művelet eltávolítja az Azure Front Doort és az összes társított erőforrást.

Futtassa a következő parancsot az erőforráscsoport törléséhez:

az group delete --name myRGFD

Következő lépések

A következő cikkből megtudhatja, hogyan adhat hozzá egyéni tartományt az Azure Front Doorhoz.