Megosztás a következőn keresztül:

Az Azure Front Door használata Azure Storage-blobokkal

  • Cikk

Az Azure Front Door javítja a statikus tartalmak Azure Storage-blobokból való továbbítását, biztonságos és méretezhető architektúrát biztosítva. Ez a beállítás ideális különböző használati esetekhez, például a webhely üzemeltetéséhez és a fájlkézbesítéshez.

Architektúra

Az Azure Front Door blobtároló-forrással rendelkező diagramja.

Ebben a referenciaarchitektúrában egy tárfiók és egy egyetlen eredetű Azure Front Door-profil lesz üzembe helyezve.

Adatfolyam

Az adatok az alábbiak szerint haladnak végig a forgatókönyvön:

  1. Az ügyfél egy egyéni tartománynévvel és egy Front Door által biztosított TLS-tanúsítvánnyal létesít biztonságos kapcsolatot az Azure Front Doorhoz. A kapcsolat egy közeli Front Door jelenléti ponton (PoP) megszakad.
  2. Az Azure Front Door webalkalmazási tűzfala (WAF) megvizsgálja a kérést. Ha a WAF úgy ítéli meg, hogy a kérés túl kockázatos, letiltja a kérést, és HTTP 403 hibaválaszt ad vissza.
  3. Ha a Front Door PoP gyorsítótára érvényes választ tartalmaz, a Front Door azonnal visszaadja a választ.
  4. Ha nem, a PoP egy külön, hosszú élettartamú TCP-kapcsolattal küldi el a kérést a Forrástárfióknak a Microsoft gerinchálózatával. Ebben az esetben a Private Link biztonságosan csatlakozik a tárfiókhoz.
  5. A tárfiók választ küld a Front Door PoP-nak.
  6. A PoP a jövőbeni kérésekhez tárolja a választ a gyorsítótárában.
  7. A poP visszaadja a választ az ügyfélnek.
  8. A tárfiókra irányuló, interneten keresztül érkező közvetlen kéréseket az Azure Storage tűzfal blokkolja.

Összetevők

  • Azure Storage: Statikus tartalmat tárol blobokban.
  • Azure Front Door: Bejövő kapcsolatokat fogad az ügyfelektől, átvizsgálja őket a WAF-ben, biztonságosan továbbítja a kéréseket a tárfióknak, és gyorsítótárazza a válaszokat.

Alternatívák

Ha statikus fájlokat tárol egy másik felhőtárhely-szolgáltatónál vagy a saját infrastruktúrájában, ez a forgatókönyv továbbra is nagyrészt érvényes. Azonban gondoskodnia kell arról, hogy a forráskiszolgálóra irányuló bejövő forgalom a Front Dooron keresztül érkezhessen. Ha a társzolgáltató nem támogatja a Private Link szolgáltatást, fontolja meg egy alternatív megközelítés használatát, például a Front Door szolgáltatáscímkének engedélyezését és a X-Azure-FDID fejléc vizsgálatát.

Forgatókönyv részletei

A statikus tartalomkézbesítés számos esetben előnyös, például:

  • Képek, CSS-fájlok és JavaScript-fájlok kézbesítése webalkalmazásokhoz.
  • Fájlok és dokumentumok, például PDF- vagy JSON-fájlok kiszolgálása.
  • Nem streamelt videó továbbítása.

A statikus tartalom általában nem változik gyakran, és nagy méretű is lehet, így ideális gyorsítótárazáshoz a teljesítmény javítása és a költségek csökkentése érdekében.

Összetett helyzetekben egyetlen Front Door-profil képes statikus és dinamikus tartalmakat is kiszolgálni. Az egyes tartalomtípusokhoz külön forráscsoportokat használhat, és az útválasztási képességekkel a bejövő kéréseket a megfelelő forráshoz irányíthatja.

Megfontolások

Méretezhetőség és teljesítmény

Az Azure Front Door tartalomkézbesítési hálózatként (CDN) működik, amely a tartalmakat gyorsítótáraozza a globálisan elosztott poP-jaiban. Ha elérhető egy gyorsítótárazott válasz, az Azure Front Door gyorsan kiszolgálja azt, ami növeli a teljesítményt és csökkenti a forrás terhelését. Ha a poP-nak nincs érvényes gyorsítótárazott válasza, az Azure Front Door forgalomgyorsító képességei felgyorsítják a tartalom kézbesítését a forrásból.

Biztonság

Hitelesítés

Az Azure Front Door internetkapcsolattal rendelkező forgatókönyvekhez készült, és nyilvánosan elérhető blobokhoz van optimalizálva. A blobokhoz való hozzáférés hitelesítéséhez fontolja meg a közös hozzáférésű jogosultságkódok (SAS) használatát. Győződjön meg arról, hogy engedélyezi a Lekérdezési sztring használata viselkedést , hogy megakadályozza az Azure Front Door számára a kérelmek hitelesítés nélküli ügyfeleknek való kiszolgálását. Ez a megközelítés korlátozhatja a gyorsítótárazás hatékonyságát, mivel minden más SAS-vel rendelkező kérelmet el kell küldeni a forrásnak.

Origin Security

  • Ha prémium szintet használ, az Azure Front Door biztonságosan csatlakozhat az Azure Storage-fiókhoz a Private Link használatával. A tárfiók konfigurálható úgy, hogy megtagadja a nyilvános hálózati hozzáférést, így a kérések csak az Azure Front Door által használt privát végponton keresztül engedélyezhetők. Ez a beállítás biztosítja, hogy az Azure Front Door minden kérést feldolgozz, így védve a tárfiókot a közvetlen internetes kitettségtől.
  • Ha a standard szintet használja, a kéréseket közös hozzáférésű jogosultságkóddal (SAS) is biztonságossá teheti, és vagy rendelkezik olyan ügyfelekkel, amelyek tartalmazzák az SAS-t a kéréseikben, vagy az Azure Front Door szabálymotor használatával csatolja őket. Vegye figyelembe, hogy a tárfiók hálózati hozzáférésének nyilvánosan elérhetőnek kell lennie (az összes hálózatról vagy az AzureFrontDoor.Backend szolgáltatáscímkében található Front Door IP-címekről).

Egyéni tartománynevek

Az Azure Front Door támogatja az egyéni tartományneveket, és kezelheti ezeknek a tartományoknak a TLS-tanúsítványait. Az egyéni tartományok használata biztosítja, hogy az ügyfelek megbízható forrásból fogadják a fájlokat, és a TLS minden kapcsolatot titkosít az Azure Front Doorhoz. Az Azure Front Door TLS-tanúsítványok kezelése segít elkerülni az érvénytelen vagy elavult tanúsítványok kimaradásait és biztonsági problémáit.

Webalkalmazási tűzfal

Az Azure Front Door WAF felügyelt szabálya beszkenneli a gyakori és újonnan felmerülő biztonsági fenyegetésekre vonatkozó kéréseket. Javasoljuk, hogy a WAF és a felügyelt szabályokat statikus és dinamikus alkalmazásokhoz is használja.

Emellett az Azure Front Door WAF szükség esetén sebességkorlátozást és geoszűrést is végezhet.

Tartósság

Az Azure Front Door egy magas rendelkezésre állású szolgáltatás, amely globálisan elosztott architektúrával rendelkezik, így rugalmasan ellenáll az egyes Azure-régiók és poP-k hibáinak.

Az Azure Front Door cache használata csökkenti a tárfiók terhelését. Ha a tárfiók elérhetetlenné válik, az Azure Front Door továbbra is kiszolgálhatja a gyorsítótárazott válaszokat, amíg az alkalmazás helyre nem áll.

A rugalmasság további javítása érdekében fontolja meg a tárfiók redundanciáját. További információ: Azure Storage-redundancia. Másik lehetőségként helyezzen üzembe több tárfiókot, és konfiguráljon több forrást az Azure Front Door-forráscsoportban. A források közötti feladatátvétel beállítása az egyes források prioritásának konfigurálásával. További információ: Origins and origin groups in Azure Front Door.

Költségoptimalizálás

A gyorsítótárazás segít csökkenteni a statikus tartalom kézbesítésének költségeit. Az Azure Front Door poPs-példányai a válaszok másolatait tárolják, és képesek a gyorsítótárazott válaszok kézbesítésére a későbbi kérésekhez, csökkentve a kérések forrásra gyakorolt terhelését. A nagy léptékű statikus tartalommegoldásokban, különösen a nagy fájlokat tartalmazó megoldásokban a gyorsítótárazás jelentősen csökkentheti a forgalmi költségeket.

Ha a Private Linket szeretné használni ebben a megoldásban, telepítse az Azure Front Door prémium szintű szintjét. A standard szint akkor használható, ha nem kell blokkolnia a tárfiók közvetlen forgalmát. További információ: Origin security.

A forgatókönyv üzembe helyezése

A forgatókönyv Bicep- vagy JSON ARM-sablonokkal való üzembe helyezéséhez tekintse meg ezt a rövid útmutatót.

Ha ezt a forgatókönyvet a Terraform használatával szeretné üzembe helyezni, tekintse meg ezt a rövid útmutatót.

Következő lépések

Megtudhatja, hogyan hozhat létre Azure Front Door-profilt.