Налаштування Azure Front Door із сайтами Power Pages
Як редактор вебсайтів ви можете використовувати Azure Front Door з Power Pages, щоб скористатись можливостями межового кешування та брандмауеру вебпрограм (WAF). У цій статті описано, як налаштувати Azure Front Door з Power Pages.
Нотатка
- Хоча ця стаття присвячена Azure Front Door, аналогічні кроки можна використати для будь-якої іншої мережі доставки вмісту або постачальника WAF. Термінологія, яку використовують різні компоненти, може відрізнятися.
- Параметри HTTPS настроюваного домена, що використовують портал Azure дозволяють вам вибрати стандартну мінімальну версію TLS від 1.0 і 1.2, використовуйте версію TLS 1.2 для сильних шифрів.
Виконайте наведені нижче кроки, щоб налаштувати Azure Front Door з Power Pages.
- Налаштуйте кінцеву точку Azure Front Door та власне доменне ім’я, яке використовуватимуть користувачі веб-сайту.
- Налаштуйте свій Power Pages сайт як джерело.
- Налаштуйте правила маршрутизації для кешування статичних запитів.
- Налаштуйте правила WAF для аналізу вхідних запитів.
- Налаштуйте сайт так, щоб він приймав трафік тільки з Azure Front Door.
Налаштування кінцевої точки Azure Front Door та імені настроюваного домену
У цьому розділі ви дізнаєтеся, як настроїти службу Azure Front Door та ввімкнути ім'я настроюваного домену для цієї інсталяції.
Вимоги
Передплата Azure із доступом до створення нових служб.
ім'я настроюваного домену та доступ до постачальника послуг DNS для встановлення імен настроюваних доменів.
Сертифікат SSL, який використовуватиметься для імені настроюваного домену. Сертифікат має відповідати мінімальним вимогам для Power Pages.
Доступ власника до Power Pages того, щоб налаштувати власне доменне ім’я.
Налаштування кінцевої точки Azure Front Door
Нотатка
Якщо ви вже створили ресурс Azure Front Door, перейдіть до кроку 3 наведеної нижче процедури.
Увійдіть на портал Azure та створіть новий ресурс Azure Front Door (Standard або Premium). Додаткові відомості: Швидкий початок: створення профілю Azure Front Door Standard/Premium – портал Azure
Оберіть пункт Швидке створення.
Порада
Більшість параметрів Azure Front Door можна змінити пізніше.
Виберіть або заповніть наведені нижче відомості, щоб налаштувати ресурс.
Варіант Опис Деталі проекту Параметри, пов'язані з організацією ресурсів, аналогічні будь-якому іншому ресурсу Azure. Передплата Виберіть підписку, на якій буде створено ресурс Azure Front Door. Група ресурсів Виберіть групу ресурсів для Azure Front Door. Також можна створити нову групу ресурсів. Розташування групи ресурсів Виберіть розташування групи ресурсів. Деталі профілю Конфігурація для Azure Front Door. Унікальне ім'я Ім'я ресурсу Azure Front Door. Ярус Виберіть рівень ресурсу Azure Front Door. Для цієї статті, ми вибрали рівень Premium, який надає доступ до керованого корпорацією Майкрософт набору правил та до набору правил запобігання ботам для WAF. Налаштування кінцевих точок Параметри кінцевої точки Azure Front Door. Ім'я кінцевої точки Уведіть ім'я для запитів Azure Front Door. Це ім'я — фактична URL-адреса, яка обслуговуватиме трафік для користувачів. Потім ми налаштуємо ім'я настроюваного домену, що вказуватиме на цю URL-адресу. Тип походження Виберіть пункт Користувацьке. Ім'я вихідного хоста Ім’я хоста вашого сайту Power Pages.
Формат:yoursitename.powerappsportals.comабоyoursitename.microsoftcrmportals.comбезhttps://на початку.
Наприклад:contoso.powerappsportals.comПриватне посилання Не вмикайте службу приватного посилання. Кешування Увімкнути кешування. Кешування використовує можливості кешування на межі для статичного вмісту.
Кешування розглядається більш докладно у розділі «Настроювання правил маршрутизації для кешування статичних запитів» нижче в цій статті.Поведінка кешування рядків запитів Виберіть пункт «Використати рядок запиту». Цей параметр гарантує, що якщо сторінка має динамічний вміст, який задовольняє рядок запиту, цей рядок запиту враховується. Стискання Увімкнути стискання. Політика WAF Створіть нову політику WAF, або використайте наявну.
Щоб отримати відомості про політику WAF, перейдіть до розділу «Налаштування правил WAF для аналізу вхідних запитів» пізніше в цій статті, а також до розділу Посібник: Створення політики Брандмауера Веб-програм у Azure Front Door за допомогою порталу Azure.Виберіть пункт Рецензування + Створення, та зачекайте, поки завершиться встановлення. Як правило, це займає від 5 до 10 хвилин.<
Щоб підтвердити встановлення, перейдіть на URL-адресу кінцевої точки (наприклад,
contoso.example.azurefd.net) і перевірте, чи відображається вміст із вашого сайту Power Pages.
Порада
Якщо відображається відповідь «404: Не знайдено», можливо, встановлення не завершено. Зачекайте та повторіть спробу.
Налаштування імені настроюваного домену
Поки що кінцева точка Azure Front Door була налаштована для обслуговування трафіку із сервера Power Pages. Однак, ця інсталяція досі використовує URL-адресу Azure Front Door, що викличе такі проблеми, як помилки перевірки captcha або проблеми з масштабуванням.
Браузери відхиляють файли cookie, задані Power Pages, якщо URL-адреса кінцевої точки Azure Front Door відрізняється від URL-адреси вашого сайту. Отже, слід налаштувати ім’я настроюваного домену як для сайту, так і для кінцевої точки Azure Front Door.
Налаштування імені настроюваного домену на сайті. Додаткові відомості: Додавання імені настроюваного домену.
Увімкніть ім’я настроюваного домену сайту в ресурсі Azure Front Door, виконавши наведені нижче дії.
Оновіть постачальника послуг DNS, видаливши запис CNAME, створений раніше під час налаштування настроюваного домену для Power Pages. Оновити слід лише CNAME; не видаляйте ім'я вихідного хоста. Служба DNS спрямує CNAME до кінцевої точки Azure Front Door. Єдина мета додавання CNAME – переконатися, що ім’я настроюваного хоста буде присутнім у Power Pages. Це присутність гарантує, що Power Pages зможуть обслугувати трафік до цього імені настроюваного домену за допомогою Azure Front Door. Усі файли cookie сайту також матимуть правильно налаштований домен.
Налаштуйте ім'я настроюваного домену на кінцевій точці Azure Front Door, виконавши такі дії: Створення настроюваного домену на Azure Front Door Standard/Premium SKU (підготовча версія) за допомогою порталу Azure.
Щоб підтвердити інсталяцію, перевірте наведені нижче відомості.
Ім'я настроюваного домену вказує на кінцеву точку Azure Front Door. За допомогою nslookup перевірте, чи правильно повертається запис CNAME до кінцевої точки Azure Front Door. Якщо запис CNAME все ще вказує на Power Pages, це слід виправити.
При переході на ім’я настроюваного домену відображається сторінка вебсайту Power Pages.
Після виконання цих дій, налаштування базової кінцевої точки Azure Front Door для вебсайту завершено. На наступних кроках ви оновите різні параметри та правила, щоб зробити конфігурацію ефективнішою та кращою для обробки різних сценаріїв використання.
Налаштування сайту як вихідного сервера
Наступний крок — оптимізувати параметри вихідного сервера, щоб забезпечити належну роботу інсталяції. Скористайтеся Диспетчером кінцевих точок у конфігураціях Azure Front Door на порталі Azure, щоб оновити параметри вихідної групи.
Під час швидкого створення, виконаного раніше, було введено відомості кінцевої точки, які автоматично створили конфігурацію з іменем default-origin group(associated) (це ім'я може відрізнятися залежно від мовних параметрів). Для цього кроку, ми змінимо параметри для default-origin-group. На зображенні нижче показано, як виглядають параметри для цього кроку під час першого відкриття вихідної групи.
Джерела в Azure Front Door відповідають серверній службі, до якої підключаються межові сервери Azure Front Door, щоб надавати вміст користувачам. Щоб отримати вміст із кількох серверних служб, до інсталяції, Azure Front Door можна додати кілька джерел.
Порада
Power Pages забезпечують високу доступність на рівні служб, і тому одного вихідного сервера достатньо під час налаштування джерел для сайтів.
Єдине джерело для сайтів Power Pages має вказувати на ім’я хоста сайту (налаштованого раніше). Якщо ви не виконали кроки швидкого створення, можна додати нове джерело, що вказує на ім’я хоста сайту.
На наведеному нижче зображенні показано приклад конфігурації джерела.
Щоб настроїти джерело для сайтів Power Pages, скористайтеся наведеними нижче параметрами.
| Варіант | Значення або тип конфігурації |
|---|---|
| Тип походження | Виберіть пункт Користувацьке. |
| Ім'я вихідного хоста | Введіть ім’я хоста вашого сайту. Наприклад: contoso.powerappsportals.com |
| Заголовок вихідного хоста | Введіть ім'я настроюваного домену, або залиште пустим. Перше гарантує, що Azure Front Door надсилає заголовок джерела у вигляді імені настроюваного домену. Друге змушує його пройти крізь те, що надав користувач при створенні запиту. |
| Порт HTTP | 80 |
| Порт HTTPS | 443 |
| Пріоритет | 1 |
| Вага | 1000 |
| Приватне посилання | Вимкнено |
| Статус | Встановіть прапорець «Увімкнути це джерело». |
Після настроювання джерела та повернення до вихідної групи, оновіть параметри для зондів справності та параметри розподілення навантаження, як описано в таблиці нижче.
| Варіант | Значення або тип конфігурації |
|---|---|
| Зонди справності | Зонди справності – це механізм для перевірки роботи вихідної служби, та прийняття рішень щодо маршрутизації трафіку залежно від результатів зондування. У цьому випадку нам не потрібні зонди справності, тому ми їх вимкнули. |
| Балансування навантаження | Оскільки у нас єдине джерело та вимкнуто зонди справності, цей параметр не відіграє жодної ролі в цій інсталяції. |
Перевірте, чи відповідає конфігурація вихідної групи наведеному нижче зображенню.
Налаштування правил маршрутизації для кешування статичних запитів
Маршрути визначають, як ми використовуємо можливості межового кешування Azure Front Door для підвищення масштабованості сайту. Настроювання маршрутів – важливий крок, який гарантує, що динамічний вміст, який обслуговується сайтом, не кешується, оскільки це може призвести до небажаного доступу до даних.
Для встановлення правил потрібно виконати такі дії.
- Налаштуйте конфігурацію маршруту.
- Налаштуйте набір правил.
- Пов’яжіть набір правил з маршрутом.
- Перевірте правила та конфігурацію маршруту.
Налаштування конфігурації маршруту
Щоб налаштувати конфігурацію маршруту, виберіть «Диспетчер кінцевих точок» в області ліворуч, виберіть «Маршрути», та виберіть маршрут за замовчуванням. Маршрут за замовчуванням створюється під час швидкого налаштування.
Оновіть конфігурацію маршрутів, як описано в наведеній нижче таблиці.
| Варіант | Конфігурація |
|---|---|
| Розділ доменів | |
| Домени | Ім'я домену, що використовувалося під час налаштування імені настроюваного домену раніше. |
| Шаблони для зіставлення | Задайте значення /* (значення за замовчуванням), і всі запити сайту надсилатимуться до єдиного джерела в нашій інсталяції. |
| Прийняті протоколи | Задайте значення лише HTTPS для забезпечення захисту всього трафіку, який обслуговується. |
| Переспрямувати | Встановіть прапорець «Переспрямувати весь трафік до використання HTTPS». |
| Розділ «Група походження» | |
| Вихідна група | Виберіть вихідну групу, яку визначили раніше. |
| Вихідний шлях | Залиште пустим. |
| Протокол пересилання | Задайте значення Лише HTTPS або Відповідає вхідному запиту. |
| Секція кешування | |
| Кешування | Установіть прапорець «Увімкнути кешування», якщо потрібно використовувати межове кешування. |
| Поведінка кешування рядків запитів | Виберіть «Використовувати рядок запиту» для забезпечення обслуговування динамічного вмісту на основі рядка запиту. |
| Стискання | Виберіть «Увімкнути стискання» для оптимізації доставки вмісту. |
Налаштування набору правил
Набори правил регулюють кешування вмісту. Цей крок важливий, оскільки він регулює кешування вмісту межовими серверами, щоб покращити масштабування сайту. Проте, неправильно настроєний набір правил може призвести до кешування динамічного вмісту, який слід обслуговувати конкретно для кожного окремого користувача.
Щоб правильно налаштувати набір правил, важливо розуміти тип вмісту, який обслуговує сайт. Це розуміння допоможе настроїти набір правил за допомогою ефективних правил. Для сценарію в цій статті сайт використовує динамічний вміст на всіх сторінках, а також обслуговує статичні файли. Отже, сайт намагається досягти наведених нижче цілей.
- Усі статичні файли кешуються та обслуговуються з межових серверів.
- Вміст сторінки не кешується.
Для налаштування цього правила встановіть
В області ліворуч виберіть «Набір правил» та «Додати набір правил».
Введіть ім'я набору правил, а потім збережіть його.
Тепер налаштуймо набір правил на основі бізнес-вимоги, із зазначеною нижче конфігурацію, щоб виконати вимоги до сценарію, зазначеного вище.
Вимога: Усі статичні файли кешуються та обслуговуються з межових серверів
У цьому сценарії сайт може містити статичні файли з розширеннями .css, .png, .jpg, .js, .svg, .woff або .ico. Отже, нам потрібне правило для оцінки розширення імені файлу запиту та перевірки на наявність певних типів файлів.
Нотатка
Це правило можна записати іншими способами, наприклад за допомогою URL-адреси запиту або імені файлу. Щоб отримати додаткові відомості про умови зіставлення правил Azure Front Door, перейдіть до розділу Умови зіставлення процесора правил Azure Front Door.
Знімок екрана: умова IF з іменем «Розширення файлу запиту» з параметром «Оператор» зі значенням «Дорівнює», зі значенням «css png jpg js svg woff ico», та параметром «Перетворення регістру» зі значенням «Без перетворення».
У наведеній нижче конфігурації дій заголовок кешу змінюється Power Pages, щоб ці файли кешувалися в браузері трохи довше. За замовчуванням, Power Pages встановлюють термін дії кешування в один день. Але цього сценарію ми перевизначимо це і встановимо для нього сім днів, налаштувавши дію Завершення терміну дії кешу та налаштувавши поведінку кешу на значення Змінити, як показано на рисунку нижче.
В підсумку, повне правило виглядає як зображення, вказане нижче.
Вимога: Вміст сторінки не кешується
Загалом, налаштування сайту Power Pages гарантує, що якщо сторінка має вбудовану форму (тобто вона обслуговує вміст, що стосується окремого запису), значення заголовку Cache-control має значення приватне, що гарантує, що Azure Front Door не кешуватиме цей запит. Однак, цей спосіб не враховує сценарій використання шаблонів Liquid для вбудовування користувацького вмісту на сторінках, наприклад відображення конкретного запису для набору користувачів. Отже, ми додамо явне правило, щоб сторінки сайту не кешувались.
Перший крок — налаштування умови. Умова виконує перевірку, обернену відносно тої, що у першому правилі, і перевіряє, щоб запит не містив розширення імені файлу, яке вказує на один із типів файлів, які необхідно кешувати.
Знімок екрана: умова IF з іменем «Розширення файлу запиту» з параметром «Оператор» зі значенням «Не дорівнює», зі значенням "css png jpg js svg woff ico", та параметром "Перетворення регістру" зі значенням «Без перетворення».
В умові дії, аналогічно попередньому правилу, ми запишемо дію для "Терміну дії кешу". Однак цього разу встановимо поведінку "Обійти кеш". Це гарантує, що будь-який запит, який відповідає цьому правилу, не кешуватиметься.
Повне правило виглядає як зображення, вказане нижче.
Зв'язування набору правил з маршрутом
Після створення набору правил наступний крок — зв'язати його з маршрутом.
Виберіть набір правил і виберіть «Зв'язати маршрут» на панелі команд.
Виберіть ім'я кінцевої точки та доступний маршрут. Може буди доступно кілька маршрутів, тому виберіть маршрут, налаштований раніше.
Якщо є кілька наборів правил і потрібно визначити порядок, в якому їх слід оцінити, виберіть «Змінити порядки наборів правил» і налаштуйте порядок. У нашому сценарії-прикладі є лише один набір правил.
Натисніть Готово для завершення.
Перевірка конфігурації правил та маршруту
Щоб перевірити правильність роботи конфігурації правил і маршрутів, переконайтеся, що весь трафік обслуговується через HTTPS і правила кешування оцінюються належним чином.
Щоб гарантувати, що весь трафік обслуговується через HTTPS, а всі HTTP-дзвінки перенаправляються на HTTPS
- Введіть доменне ім'я у браузері та переконайтеся, що URL-адреса автоматично змінюється на HTTPS під час відображення вмісту.
Щоб гарантувати, що правила кешування оцінюються та працюють належним чином
Щоб перевірити правила кешування, необхідно проаналізувати трасування мережі на панелі інструментів розробника у веб-браузері, щоб підтвердити, що заголовки кешування для різних типів вмісту встановлені правильно.
Нотатка
Для відображення змін правил може знадобитись до 10 хвилин.
Відкрийте нову вкладку браузера, відкрийте панель інструментів розробника та перейдіть за URL-адресою сайту Power Pages (відкрити панель інструментів розробника слід перед переходом за URL-адресою).
Перейдіть на вкладку мережі, щоб переглянути всі мережеві запити.
Виберіть запит для будь-якого файлу CSS у списку запитів.
У розділі «Заголовки відповіді» відомостей про запит переконайтеся, що присутній заголовок з іменем x-cache. Цей заголовок гарантує, що запит обслуговується через межові сервери, і його можна кешувати. Якщо для параметра x-cache задано значення CONFIG_NOCACHE, або будь-яке інше значення, що містить термін NOCACHE, то інсталяція неправильна.
Аналогічно до попередньому кроку, виберіть запит "Сторінка" та перевірте його заголовки. Якщо параметр x-cache має значення CONFIG_NOCACHE, інсталяція працює належним чином.
Налаштування правил WAF для аналізу вхідних запитів
Наступний крок налаштування — настроїти правила WAF для вхідних запитів. У цій статті описано лише основні кроки. Для розширеного настроювання WAF перейдіть до розділу Брандмауер веб-програм Azure на Azure Front Door.
В області ліворуч виберіть Безпека.
Під час швидкого створення ми вже налаштували нову політику WAF, яка відображається тут. Проте, якщо цей крок пропущено, можна налаштувати нову політику, вибравши пункт «Створити».
Виберіть ім’я політики WAF.
Виберіть Параметри політики і потім:
Увімкнути перевірку тіла запиту: установіть цей прапорець, якщо ви хочете, щоб тіло запиту перевірялося на додаток до файлів cookie, заголовків та URL-адрес.
URL-адреса переспрямування: введіть URL-адресу за межами сайту. Це URL-адреса, на яку буде переспрямовано користувача, якщо було задане правило WAF для переспрямування. Переконайтеся, що ця URL-адреса доступна відкрито та анонімно.
Код статусу запиту блокування: цей код статусу HTTP повертається користувачу, якщо запит заблоковано WAF.
Тіло відповіді блоку: тут ви можете додати власне повідомлення, яке буде показано користувачу, якщо запит заблоковано WAF.
Щоб настроїти набір правил, по якому оцінюватиметься кожний запит, виконайте наведені нижче дії.
В області ліворуч виберіть Керовані Правила.
На панелі команд натисніть «Призначити» та виберіть один зі списку наборів правил за замовчуванням. Керовані набори правил керуються службою Microsoft, а також регулярно оновлюються. Для отримання додаткових відомостей про набори правил перейдіть до розділу Правила та набори правил DRS брандмауера веб-програм.
Після призначення керованого набору правил налаштування завершено. В якості додаткового кроку можна також налаштувати списки виключення для наявних правил і увімкнути настроювані правила.
Важливо
За замовчуванням WAF знаходиться у режимі політики виявлення, яка виявляє проблеми згідно визначеного набору правил та фіксує їх. Проте цей режим не блокує запити. Щоб блокувати запити, потрібно переключити WAF у режим запобігання.
Рекомендуємо виконати ретельне тестування в режимі «Запобігання», щоб перевірити роботу всіх сценаріїв і переконатись, що не треба корегувати набір правил або додавати політики виключення. Режим запобігання слід увімкнути лише після підтвердження, що вся інсталяція працює належним чином.
Налаштування Power Pages для прийому трафіку лише з Azure Front Door
Останній крок налаштування – переконатись, що сайт Power Pages прийматиме трафік лише від Azure Front Door. Для цієї перевірки потрібно ввімкнути обмеження IP-адрес на сайті.
Щоб знайти діапазон IP-адрес, на якому працює Azure Front Door, перейдіть до розділу Як заблокувати доступ до моєї серверної частини всьому окрім Azure Front Door?.
Нотатка
Power Pages не підтримують фільтрування на основі X-Azure-FDID.
Збільшити час відповіді джерела
За замовчуванням, час очікування відповіді джерела в Azure Front Door — 60 секунд. Проте рекомендовано збільшити його до 240 секунд, щоб гарантувати належну роботу тривалих сценаріїв, наприклад передавання файлів або експорту до Excel.
В області ліворуч виберіть Диспетчер кінцевих точок.
Виберіть «Редагувати кінцеву точку».
У верхньому правому куті виберіть пункт Властивості кінцевої точки.
Змініть час відповіді джерела на 240 секунд, а потім натисніть «Оновити».
Статті за темою
Що таке вхідні двері Azure?
Швидкий старт: створення профілю Azure Вхідні двері - портал Azure
Створіть власний домен на Azure Front Door Standard/Premium SKU за допомогою порталу Azure
Як я можу заблокувати доступ до моєї задньої частини лише до Azure Front Door?
Azure Правила користування вхідними дверима Умови матчу двигуна