Mulai cepat: Membuat Azure Front Door menggunakan Azure CLI
Dalam mulai cepat ini, Anda mempelajari cara membuat Azure Front Door menggunakan Azure CLI. Anda menyiapkan profil dengan dua Azure Web Apps sebagai asal dan menambahkan kebijakan keamanan WAF. Terakhir, Anda memverifikasi konektivitas ke Web Apps menggunakan nama host titik akhir Azure Front Door.
Catatan
Untuk beban kerja web, sebaiknya gunakan perlindungan Azure DDoS dan firewall aplikasi web untuk melindungi dari serangan DDoS yang muncul. Opsi lain adalah menggunakan Azure Front Door bersama dengan firewall aplikasi web. Azure Front Door menawarkan perlindungan tingkat platform terhadap serangan DDoS tingkat jaringan. Untuk informasi selengkapnya, lihat garis besar keamanan untuk layanan Azure.
Jika Anda tidak memiliki Langganan Azure, buat Akun gratis Azure sebelum memulai.
Prasyarat
Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.
Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.
Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.
Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.
Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.
Buat grup sumber daya
Di Azure, sumber daya terkait dialokasikan ke grup sumber daya. Anda dapat menggunakan grup sumber daya yang sudah ada atau membuat yang baru.
Jalankan az group create untuk membuat grup sumber daya.
az group create --name myRGFD --location centralus
Membuat profil Azure Front Door
Selanjutnya, buat profil Azure Front Door yang digunakan dua App Services Anda sebagai asal.
Jalankan az afd profile create untuk membuat profil Azure Front Door.
Catatan
Jika Anda ingin menyebarkan Azure Front Door Standard alih-alih Premium, ganti nilai parameter sku dengan Standard_AzureFrontDoor. Aturan terkelola dengan Kebijakan WAF tidak tersedia dengan SKU Standar. Untuk perbandingan terperinci, lihat Perbandingan tingkat Azure Front Door.
az afd profile create \
--profile-name contosoafd \
--resource-group myRGFD \
--sku Premium_AzureFrontDoor
Membuat dua instans aplikasi web
Dalam langkah ini, Anda membuat dua instans aplikasi web yang berjalan di wilayah Azure yang berbeda. Kedua instans beroperasi dalam mode Aktif/Aktif, yang berarti dapat menangani lalu lintas. Penyiapan ini berbeda dari konfigurasi Aktif/Stand-By, di mana satu instans berfungsi sebagai failover.
Buat perencanaan layanan aplikasi
Pertama, buat dua paket layanan aplikasi: satu di AS Tengah dan lainnya di US Timur.
Jalankan perintah berikut untuk membuat paket layanan aplikasi:
az appservice plan create \
--name myAppServicePlanCentralUS \
--resource-group myRGFD \
--location centralus
az appservice plan create \
--name myAppServicePlanEastUS \
--resource-group myRGFD \
--location eastus
Membuat aplikasi web
Selanjutnya, buat aplikasi web di setiap paket layanan aplikasi yang dibuat di langkah sebelumnya. Nama aplikasi web harus unik secara global.
Jalankan perintah berikut untuk membuat aplikasi web:
az webapp create \
--name WebAppContoso-01 \
--resource-group myRGFD \
--plan myAppServicePlanCentralUS
az webapp create \
--name WebAppContoso-02 \
--resource-group myRGFD \
--plan myAppServicePlanEastUS
Catat nama host default untuk setiap aplikasi web, karena Anda akan membutuhkannya untuk menentukan alamat backend saat menyebarkan Azure Front Door di langkah berikutnya.
Membuat profil Azure Front Door
Membuat profil Azure Front Door
Jalankan az afd profile create untuk membuat profil Azure Front Door.
Catatan
Untuk menyebarkan Azure Front Door Standard alih-alih Premium, atur sku parameter ke Standard_AzureFrontDoor. Aturan terkelola dengan Kebijakan WAF tidak tersedia dengan SKU Standar. Untuk perbandingan terperinci, lihat Perbandingan tingkat Azure Front Door.
az afd profile create \
--profile-name contosoafd \
--resource-group myRGFD \
--sku Premium_AzureFrontDoor
Tambahkan titik akhir
Buat titik akhir di profil Azure Front Door Anda. Titik akhir adalah pengelompokan logis dari satu atau beberapa rute yang terkait dengan nama domain. Setiap titik akhir diberi nama domain oleh Azure Front Door, dan Anda dapat mengaitkan titik akhir dengan domain kustom menggunakan rute. Profil Azure Front Door dapat berisi beberapa titik akhir.
Jalankan az afd endpoint create untuk membuat titik akhir di profil Anda.
az afd endpoint create \
--resource-group myRGFD \
--endpoint-name contosofrontend \
--profile-name contosoafd \
--enabled-state Enabled
Untuk informasi selengkapnya tentang titik akhir di Azure Front Door, lihat Titik akhir di Azure Front Door.
Membuat grup asal
Buat grup asal yang menentukan lalu lintas dan respons yang diharapkan untuk instans aplikasi Anda. Grup asal juga menentukan bagaimana asal dievaluasi oleh pemeriksaan kesehatan.
Jalankan az afd origin-group create untuk membuat grup asal yang berisi dua aplikasi web Anda.
az afd origin-group create \
--resource-group myRGFD \
--origin-group-name og \
--profile-name contosoafd \
--probe-request-type GET \
--probe-protocol Http \
--probe-interval-in-seconds 60 \
--probe-path / \
--sample-size 4 \
--successful-samples-required 3 \
--additional-latency-in-milliseconds 50
Menambahkan asal ke grup asal
Tambahkan kedua instans aplikasi Anda yang dibuat sebelumnya sebagai asal ke grup asal baru Anda. Asal di Azure Front Door mengacu pada aplikasi yang diambil Azure Front Door konten dari saat penembolokan tidak diaktifkan atau ketika cache meleset.
Jalankan az afd origin create untuk menambahkan instans aplikasi pertama Anda sebagai asal ke grup asal Anda.
az afd origin create \
--resource-group myRGFD \
--host-name webappcontoso-01.azurewebsites.net \
--profile-name contosoafd \
--origin-group-name og \
--origin-name contoso1 \
--origin-host-header webappcontoso-01.azurewebsites.net \
--priority 1 \
--weight 1000 \
--enabled-state Enabled \
--http-port 80 \
--https-port 443
Ulangi langkah ini untuk menambahkan instans aplikasi kedua Anda sebagai asal ke grup asal Anda.
az afd origin create \
--resource-group myRGFD \
--host-name webappcontoso-02.azurewebsites.net \
--profile-name contosoafd \
--origin-group-name og \
--origin-name contoso2 \
--origin-host-header webappcontoso-02.azurewebsites.net \
--priority 1 \
--weight 1000 \
--enabled-state Enabled \
--http-port 80 \
--https-port 443
Untuk informasi selengkapnya tentang asal, grup asal, dan pemeriksaan kesehatan, lihat Asal dan grup asal di Azure Front Door.
Menambahkan rute
Tambahkan rute untuk memetakan titik akhir yang Anda buat sebelumnya ke grup asal. Rute ini meneruskan permintaan dari titik akhir ke myOriginGroup.
Jalankan az afd route create untuk memetakan titik akhir Anda ke grup asal.
az afd route create \
--resource-group myRGFD \
--profile-name contosoafd \
--endpoint-name contosofrontend \
--forwarding-protocol MatchRequest \
--route-name route \
--https-redirect Enabled \
--origin-group og \
--supported-protocols Http Https \
--link-to-default-domain Enabled
Untuk mempelajari selengkapnya tentang rute di Azure Front Door, lihat Metode perutean lalu lintas ke asal.
Membuat kebijakan keamanan baru
Azure Web Application Firewall (WAF) di Azure Front Door memberikan perlindungan terpusat untuk aplikasi web Anda, mempertahankannya dari eksploitasi dan kerentanan umum.
Dalam tutorial ini, Anda membuat kebijakan WAF yang menyertakan dua aturan terkelola. Anda juga dapat membuat kebijakan WAF dengan aturan kustom.
Membuat kebijakan WAF
Jalankan az network front-door waf-policy create untuk membuat kebijakan WAF baru untuk Azure Front Door Anda. Contoh ini membuat kebijakan yang diaktifkan dan dalam mode pencegahan.
Catatan
Aturan terkelola hanya tersedia dengan tingkat Azure Front Door Premium. Anda dapat menggunakan aturan kustom dengan tingkat Standar.
az network front-door waf-policy create \
--name contosoWAF \
--resource-group myRGFD \
--sku Premium_AzureFrontDoor \
--disabled false \
--mode Prevention
Catatan
Jika Anda memilih Detection mode, WAF Anda tidak akan memblokir permintaan apa pun.
Untuk mempelajari selengkapnya tentang pengaturan kebijakan WAF untuk Azure Front Door, lihat Pengaturan kebijakan untuk Web Application Firewall di Azure Front Door.
Menetapkan aturan terkelola pada kebijakan WAF
Seperangkat aturan yang dikelola Azure menyediakan cara mudah untuk melindungi aplikasi Anda dari ancaman keamanan umum.
Jalankan az network front-door waf-policy managed-rules add untuk menambahkan aturan terkelola pada Kebijakan WAF Anda. Contoh ini menambahkan Microsoft_DefaultRuleSet_2.1 dan Microsoft_BotManagerRuleSet_1.0 ke kebijakan Anda.
az network front-door waf-policy managed-rules add \
--policy-name contosoWAF \
--resource-group myRGFD \
--type Microsoft_DefaultRuleSet \
--action Block \
--version 2.1
az network front-door waf-policy managed-rules add \
--policy-name contosoWAF \
--resource-group myRGFD \
--type Microsoft_BotManagerRuleSet \
--version 1.0
Untuk mempelajari selengkapnya tentang aturan terkelola di Azure Front Door, lihat Grup aturan dan aturan DRS Web Application Firewall.
Menerapkan kebijakan keamanan
Sekarang, terapkan kebijakan WAF ke Azure Front Door Anda dengan membuat kebijakan keamanan. Pengaturan ini menerapkan aturan yang dikelola Azure ke titik akhir yang Anda tentukan sebelumnya.
Jalankan az afd security-policy create untuk menerapkan kebijakan WAF Anda ke domain default titik akhir.
Catatan
Ganti 'mysubscription' dengan ID Langganan Azure Anda di parameter domain dan waf-policy. Jalankan daftar langganan akun az guna mendapatkan detail ID Langganan.
az afd security-policy create \
--resource-group myRGFD \
--profile-name contosoafd \
--security-policy-name contososecurity \
--domains /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Cdn/profiles/contosoafd/afdEndpoints/contosofrontend \
--waf-policy /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/contosoWAF
Menguji Azure Front Door
Setelah Anda membuat profil Azure Front Door, dibutuhkan beberapa menit agar konfigurasi disebarkan secara global. Setelah selesai, Anda dapat mengakses host frontend yang Anda buat.
Jalankan az afd endpoint show untuk mendapatkan nama host titik akhir Azure Front Door.
az afd endpoint show --resource-group myRGFD --profile-name contosoafd --endpoint-name contosofrontend
Di browser, pergi ke nama host titik akhir: contosofrontend-<hash>.z01.azurefd.net Permintaan Anda dirutekan ke Aplikasi Web yang paling tidak laten di grup asal.
Untuk menguji failover global instan, ikuti langkah-langkah berikut:
Buka browser dan buka nama host titik akhir:
contosofrontend-<hash>.z01.azurefd.net.Hentikan salah satu Web Apps dengan menjalankan az webapp stop:
az webapp stop --name WebAppContoso-01 --resource-group myRGFDRefresh browser Anda. Anda akan melihat halaman informasi yang sama.
Tip
Mungkin ada sedikit penundaan untuk tindakan ini. Mungkin Anda perlu me-refresh lagi.
Hentikan aplikasi web lainnya juga:
az webapp stop --name WebAppContoso-02 --resource-group myRGFDRefresh browser Anda. Kali ini, Anda akan melihat pesan kesalahan.
Hidupkan ulang salah satu Web Apps dengan cara menjalankan az webapp start. Refresh browser Anda, dan halaman harus kembali normal.
az webapp start --name WebAppContoso-01 --resource-group myRGFD
Membersihkan sumber daya
Saat Anda tidak lagi memerlukan sumber daya yang dibuat untuk Azure Front Door, Anda dapat menghapus grup sumber daya. Tindakan ini menghapus Azure Front Door dan semua sumber daya terkait.
Jalankan perintah berikut untuk menghapus grup sumber daya:
az group delete --name myRGFD
Langkah berikutnya
Lanjutkan ke artikel berikutnya untuk mempelajari cara menambahkan domain kustom ke Azure Front Door Anda.