Nastavení Azure Front Door s weby Power Pages

  • Článek

Jako tvůrce webu můžete použít Azure Front Door s weby Power Pages, abyste mohli využívat funkce okrajového ukládání do mezipaměti a firewall webových aplikací (WAF). V tomto článku se dozvíte, jak nastavit Azure Front Door s weby Power Pages.

Poznámka:

Při nastavování Azure Front Door s weby Power Pages postupujte takto:

  1. Nastavte koncový bod a název vlastní domény Azure Front Door, který budou uživatelé webu používat.
  2. Nakonfigurujte web Power Pages jako původní.
  3. Nastavte pravidla směrování pro ukládání statických požadavků do mezipaměti.
  4. Nastavte pravidla WAF pro analýzu příchozích požadavků.
  5. Nastavte web tak, aby přijímal provoz pouze z Azure Front Door.

Nastavení koncového bodu a názvu vlastní domény Azure Front Door

V této části se dozvíte, jak nastavit službu Azure Front Door a povolit název vlastní domény pro toto nastavení.

Požadavky

  • Předplatné Azure s přístupem pro vytváření nových služeb.

  • Název vlastní domény a přístup k poskytovateli DNS pro nastavení názvu vlastní domény.

  • Certifikát SSL, který se použije pro název vlastní domény. Certifikát musí splňovat minimální požadavky pro weby Power Pages.

  • Přístup vlastníka na web Power Pages kvůli nastavení názvu vlastní domény.

Nastavení koncového bodu Azure Front Door

Poznámka:

Pokud jste již vytvořili prostředek Azure Front Door, přejděte ke kroku 3 následujícího postupu.

  1. Přihlaste se k portálu Azure Portál a vytvořte nový prostředek Azure Front Door (standardní nebo prémiový). Další informace: Rychlý start: Vytvoření standardního nebo prémiového profilu Azure Front Door – Azure Portal

    Vytvoření prostředku Azure Front Door.

  2. Vyberte Rychlé vytvoření.

    Tip

    Většinu nastavení Azure Front Door lze později změnit.

    Vytvoření Azure Front Door a nastavení.

  3. Pro konfiguraci prostředku vyberte nebo vyplňte následující podrobnosti.

    Možnost Popis
    Podrobnosti projektu Nastavení související s organizací prostředků, podobně jako u jakýchkoli jiných prostředků Azure.
    Předplatné Vyberte předplatné, kde bude vytvořen prostředek Azure Front Door.
    Skupina prostředků Vyberte skupinu prostředků pro Azure Front Door. Můžete také vytvořit novou skupinu prostředků.
    Umístění skupiny prostředků Umístění skupiny prostředků.
    Podrobnosti profilu Konfigurace Azure Front Door.
    Jméno Název prostředku Azure Front Door.
    Úroveň Vyberte úroveň prostředku Azure Front Door. V tomto článku jsme vybrali úroveň Premium, která umožňuje přístup k sadě pravidel spravované společností Microsoft a sadě pravidel ochrany bota pro WAF.
    Nastavení koncového bodu Nastavení koncového bodu Azure Front Door.
    Název koncového bodu Zadejte název požadavku Azure Front Door. Tento název je skutečná adresa URL, která bude sloužit provozu pro uživatele. Později nastavíme název vlastní domény, který odkazuje na tuto adresu URL.
    Typ původu Vyberte Vlastní.
    Název hostitele původu Název hostitele vašeho webu Power Pages.
    Formát: yoursitename.powerappsportals.com nebo yoursitename.microsoftcrmportals.com bez https:// na začátku.
    Například contoso.powerappsportals.com
    Privátní propojení Nepovolujte službu privátního propojení.
    Ukládání do mezipaměti Povolte ukládání do mezipaměti. Ukládání do mezipaměti využívá funkci okrajového ukládání do mezipaměti pro statický obsah.
    Ukládání do mezipaměti je dále diskutováno v části „Nastavení pravidel směrování pro ukládání statických požadavků do mezipaměti“ dále v tomto článku.
    Chování při ukládání řetězců dotazů do mezipaměti Vyberte Použít řetězec dotazu. Tato možnost zajistí, že pokud má stránka dynamický obsah, který odpovídá řetězci dotazu, vezme v úvahu řetězec dotazu.
    Komprese Povolte kompresi.
    Zásady WAF Vytvořte novou zásadu WAF nebo použijte již existující.
    Informace o zásadách WAF najdete v části „Nastavení pravidel WAF pro analýzu příchozích požadavků“ dále v tomto článku, a také v části Kurz: Vytvoření zásad brány firewall webové aplikace v Azure Front Door pomocí portálu Azure Portal.

  4. Vyberte Zkontrolovat + vytvořit a počkejte na dokončení nastavení. Obvykle to trvá 5 až 10 minut.<

  5. Ověřte nastavení přechodem na adresu URL koncového bodu (například contoso.example.azurefd.net) a ověřením, že zobrazuje obsah z vašeho webu Power Pages.

    Přechod ke koncovému bodu.

    Tip

    Pokud se zobrazí odpověď „404 Nenalezeno“, instalace možná nebyla dokončena. Chvíli počkejte a zkuste to znovu.

Nastavení názvu vlastní domény

Doposud byl koncový bod Azure Front Door nastaven tak, aby obsluhoval provoz z back-endu Power Pages. Toto nastavení však stále používá adresu URL Azure Front Door, což způsobí problémy, jako je selhání kontroly captcha nebo problémy se škálováním.

Webové prohlížeče odmítají soubory cookie nastavené webem Power Pages, když používáte adresu URL koncového bodu Azure Front Door, která se liší od adresy URL vašeho webu. Proto musíte nastavit název vlastní domény pro svůj web i koncový bod Azure Front Door.

  1. Ve svém webu nastavte název vlastní domény. Další informace: Přidání názvu vlastní domény.

  2. Povolte název vlastní domény pro svůj web na prostředku Azure Front Door následujícím způsobem:

    1. Aktualizujte svého poskytovatele DNS odstraněním záznamu CNAME vytvořeného dříve během nastavení vlastní domény pro web Power Pages. Aktualizován by měl být pouze CNAME; neodstraňujte název hostitele původu. DNS nasměruje CNAME na přední koncový bod Azure Front Door. Jediným účelem pro přidání CNAME bylo zajistit, aby byl název vlastního hostitele přítomen ve webu Power Pages. Tato přítomnost zajišťuje, že weby Power Pages mohou obsluhovat provoz tohoto názvu vlastní domény prostřednictvím Azure Front Door a všechny soubory cookie webu budou mít také správně nastavenu doménu.

    2. Nastavte název vlastní domény na koncovém bodu Azure Front Door pomocí těchto kroků: Vytvoření vlastní domény v Azure Front Door Standard/Premium SKU pomocí portálu Azure Portal.

  3. Nastavení zkontrolujte následovně:

    1. Název vlastní domény odkazuje na koncový bod Azure Front Door. Pomocí nslookup ověřte, že je do koncového bodu Azure Front Door správně vrácena položka CNAME. Pokud položka CNAME stále odkazuje na web Power Pages, musíte to opravit.

    2. Při přechodu k názvu vlastní domény se zobrazí váš web Power Pages.

Po provedení těchto kroků máte pro web dokončeno základní nastavení koncového bodu Azure Front Door. V dalších krocích aktualizujete různá nastavení a pravidla, aby byla tato konfigurace efektivnější a lépe vyhovovala různým případům použití.

Konfigurace webu jako severu původu

Dalším krokem je optimalizace nastavení serveru původu, aby bylo zajištěno, že nastavení funguje správně. Pomocí správce koncových bodů v konfiguraci Azure Front Door v portálu Azure Portal aktualizujte nastavení skupiny původu.

Správce koncových bodů.

Během dřívějšího nastavení rychlého vytvoření jste zadali podrobnosti koncového bodu, které automaticky vytvořily konfiguraci s názvem výchozí-skupina-původu(přidružená) (tento název se může lišit v závislosti na nastavení národního prostředí). V tomto kroku upravíte nastavení pro výchozí-skupinu-původu. Následující obrázek ukazuje, jak vypadají nastavení pro tento krok při prvním otevření skupiny původu.

Skupina původu, jak vypadá poprvé.

Původy v Azure Front Door představují back-endovou službu, ke které se připojují okrajové servery Azure Front Door, aby poskytovaly obsah uživatelům. Do své instance Azure Front Door můžete přidat více původů, abyste získali obsah z více back-endových služeb.

Tip

Weby Power Pages poskytují vysokou dostupnost ve své servisní vrstvě, proto při nastavování původů pro weby stačí jen jeden server původu.

Tento jediný původ pro weby Power Pages by měl odkazovat na název hostitele vašeho webu (který jste nastavili dříve). Pokud jste nedodrželi kroky pro rychlé vytvoření, můžete přidat nový původ, který odkazuje na název hostitele vašeho webu.

Následující obrázek ukazuje příklad konfigurace původu.

Konfigurace původu.

Pomocí následujících nastavení nakonfigurujte původ pro weby Power Pages.

Možnost Typ nebo hodnota konfigurace
Typ původu Vyberte Vlastní.
Název hostitele původu Zadejte název hostitele vašeho webu. Například contoso.powerappsportals.com
Záhlaví hostitele původu Zadejte název vlastní domény nebo ponechte pole prázdné. První přístup zajistí, že Azure Front Door odešle záhlaví původu jako název vlastní domény; druhý přístup způsobí, že záhlaví je předáno čemukoli, co uživatel poskytne při vytváření požadavku.
Port HTTP 80
Port HTTPS 443
Priorita 0
Hmotnost 1000
Privátní propojení Zakázána
Průběh Vyberte zaškrtávací políčko Povolit tento původ.

Jakmile nakonfigurujete původ a vrátíte se do skupiny původu, aktualizujte nastavení pro sondy stavu a možnosti vyrovnávání zatížení, jak je popsáno v následující tabulce.

Možnost Typ nebo hodnota konfigurace
Sondy stavu Sondy stavu jsou mechanismus, který zajišťuje, že je služba původu v provozu, a který rozhoduje o směrování provozu v závislosti na výsledcích sondy. V tomto případě nepotřebujeme sondy stavu, proto jsme je vypnuli.
Vyrovnávání zatížení Protože máme nastavený jeden původ a sondy stavu jsou vypnuté, nebude toto nastavení hrát žádnou roli.

Ověřte, že konfigurace skupiny původu vypadá jako na následujícím obrázku.

Ověření konfigurace původu.

Nastavení pravidel směrování pro ukládání statických požadavků do mezipaměti

Trasy určují, jak používáme funkce okrajového ukládání do mezipaměti služby Azure Front Door ke zlepšení škálovatelnosti webu. Nastavení tras je také důležitým krokem, abychom zajistili, že nebudeme ukládat do mezipaměti dynamický obsah obsluhovaný webem, což může vést k nechtěnému přístupu k datům.

Konfigurace tras.

Pro nastavení pravidel budeme muset provést následující:

  1. Nastavit konfiguraci trasy.
  2. Nastavit sadu pravidel.
  3. Přidružit sadu pravidel k trase.
  4. Ověřit pravidla a konfiguraci trasy.

Nastavení konfigurace trasy

Chcete-li nastavit konfiguraci trasy, vyberte Správce koncového bodu v levém podokně, vyberte Trasy a poté vyberte výchozí trasu. Výchozí trasa je vytvořena během nastavení rychlého vytvoření.

Konfigurace trasy.

Aktualizujte konfiguraci trasy, jak je popsáno v následující tabulce.

Možnost Konfigurace
Sekce domén
Domény Název domény, který jste dříve použili při nastavování názvu vlastní domény.
Shodné vzory Nastaveno na /* (výchozí hodnota); všechny požadavky webu budou v našem nastavení odeslány do stejného původu.
Přijaté protokoly Nastaveno na Pouze HTTPS, aby byla zajištěna bezpečnost veškerého obsluhovaného provozu.
Přesměrování Vyberte zaškrtávací políčko Přesměrovat veškerý provoz na HTTPS.
Sekce skupiny původu
Skupina původu Nastavte na skupinu původu, kterou jste definovali dříve.
Cesta k původu Ponechejte prázdné.
Protokol přesměrování Nastavte buď Pouze HTTPS nebo Odpovídající příchozí požadavek.
Sekce ukládání do mezipaměti
Ukládání do mezipaměti Vyberte zaškrtávací políčko Povolit ukládání do mezipaměti, pokud chcete používat okrajové ukládání do mezipaměti.
Chování při ukládání řetězců dotazů do mezipaměti Vyberte Použít řetězec dotazu, aby jste zajistili poskytování dynamického obsahu na základě řetězce dotazu.
Komprese Vyberte Povolit kompresi k optimalizaci doručování obsahu.

Nastavení sady pravidel

Sady pravidel určují, jak by měl být ukládán obsah do mezipaměti. Tento krok je důležitý, protože určuje, jak bude obsah ukládán do mezipaměti okrajovými servery pro lepší škálování webu. Nesprávně nakonfigurovaná sada pravidel však může vést k ukládání dynamického obsahu do mezipaměti, který by měl být nabízen každému jednotlivému uživateli zvlášť.

Pro správné nastavení sady pravidel je důležité, abyste znali typ obsahu, který váš web poskytuje. Toto vědomí vám pomůže nakonfigurovat sadu pravidel pomocí efektivních pravidel. Ve scénáři v tomto článku web používá dynamický obsah na všech stránkách a poskytuje také statické soubory; proto se web snaží dosáhnout následujícího:

  • Všechny statické soubory jsou ukládány do mezipaměti a obsluhovány z okrajových serverů.
  • Žádný obsah stránky není ukládán do mezipaměti.

Konfigurace této sady pravidel

  1. V levém podokně vyberte Sada pravidel a poté vyberte Přidat sadu pravidel.

    Konfigurace sady pravidel.

  2. Zadejte název sady pravidel a poté jej uložte.

    Vytvoření nové sady pravidel

Nyní nakonfigurujme sadu pravidel na základě obchodních požadavků s následující konfigurací, která splní požadavky výše uvedeného scénáře.

Požadavek: Všechny statické soubory jsou ukládány do mezipaměti a obsluhovány z okrajových serverů

Web v tomto scénáři může obsahovat statické soubory s příponami .css, .png, .jpg, .js, .svg, .woff nebo .ico. Proto potřebujeme pravidlo, které vyhodnotí příponu názvu souboru požadavku a zkontroluje konkrétní typy souborů.

Poznámka:

Toto pravidlo lze napsat i jinými způsoby, například pomocí adresy URL požadavku nebo názvu souboru. Další informace o podmínkách shody pravidel Azure Front Door najdete v části Podmínky shody modulu pravidel Azure Front Door.

Příklad podmínky Požadovat přípony souborů.

V následující konfiguraci akce přepíšete záhlaví mezipaměti nastavené weby Power Pages, takže tyto soubory budou v prohlížeči uloženy do mezipaměti o něco déle. Ve výchozím nastavení Power Pages nastaví vypršení platnosti mezipaměti na jeden den. Ale v tomto scénáři údaj přepíšeme a nastavíme ho na sedm dní pomocí akce Vypršení platnosti mezipaměti a nastavením Chování mezipaměti na Přepsat, jak je znázorněno na následujícím obrázku.

Příklad akce vypršení platnosti mezipaměti.

Na konci vypadá úplné pravidlo jako na následujícím obrázku.

Konečné pravidlo přípony souboru.

Požadavek: Žádný obsah stránky není ukládán do mezipaměti

Nastavení webu Power Pages obecně zajišťuje, že pokud má stránka vložený formulář (což znamená, že zobrazuje obsah specifický pro záznam), bude mít hodnotu záhlaví Cache-control nastavenu na private, což zajišťuje, že Azure Front Door tento požadavek neuloží do mezipaměti. Tato metoda však nebere v úvahu scénáře, kdy používáte kapalné šablony k vložení obsahu specifického pro uživatele na stránky, jako je například zobrazení konkrétního záznamu množině uživatelů. Proto přidáme explicitní pravidlo, které zajistí, že žádná stránka webu nebude ukládána do mezipaměti.

Prvním krokem je nastavení podmínky. Podmínka provede inverzní kontrolu, co jsme provedli v prvním pravidle, a zkontroluje, zda požadavek nezahrnuje příponu v názvu souboru, která odkazuje na jeden z typů souborů, které chceme ukládat do mezipaměti.

Příklad podmínky Není rovno Požadovat přípony souborů.

V podmínce akce, podobně jako v předchozím pravidle, napíšeme akci pro Vypršení platnosti mezipaměti. Tentokrát však chování nastavíme na Nepoužívat mezipaměť. Tím zajistíte, že žádný požadavek, který splňuje toto pravidlo, nebude uložen do mezipaměti.

Konfigurace vypršení platnosti mezipaměti.

Úplné pravidlo vypadá jako na následujícím obrázku.

Úplné pravidlo pro mezipaměť obsahu stránky.

Přidružení sady pravidel k trase

Poté, co jste vytvořili sadu pravidel, je dalším krokem jejich přiřazení k trase.

  1. Vyberte sadu pravidel a poté vyberte Přiřadit trasu na panelu příkazů.

    Vyberte, chcete -li přiřadit trasu k sadě pravidel.

  2. Vyberte název koncového bodu a dostupnou trasu. Může být k dispozici více tras, proto vyberte tu, kterou jste nakonfigurovali dříve.

    Přiřazení trasy

  3. Pokud máte více sad pravidel a chcete definovat pořadí, ve kterém mají být vyhodnoceny, vyberte Změnit pořadí sad pravidel a nakonfigurujte pořadí. Náš ukázkový scénář má pouze jednu sadu pravidel.

    Změna pořadí sad pravidel.

  4. Tlačítkem Hotovo ukončete akci.

Ověření pravidel a konfigurace trasy

Chcete-li ověřit, že pravidla a konfigurace tras fungují správně, zajistěte, aby veškerý provoz byl poskytován prostřednictvím HTTPS a aby byla správně vyhodnocena pravidla ukládání do mezipaměti.

Zajištění, aby veškerý provoz byl obsluhován prostřednictvím HTTPS a všechna volání HTTP byla přesměrována na HTTPS

  • Do prohlížeče zadejte název domény a zajistěte, aby se adresa URL při vykreslování obsahu automaticky změnila na HTTPS.

Zajištění, aby pravidla ukládání do mezipaměti byla vyhodnocena a fungovala podle očekávání

Abychom mohli zkontrolovat pravidla ukládání do mezipaměti, budeme muset analyzovat síťová trasování na panelu nástrojů pro vývojáře webového prohlížeče a ověřit, že jsou správně nastavena záhlaví ukládání do mezipaměti pro různé typy obsahu.

Poznámka:

Změny pravidel se mohou projevit až za 10 minut.

  1. Otevřete novou kartu prohlížeče, otevřete panel nástrojů pro vývojáře a přejděte na adresu URL webu Power Pages (panel nástrojů pro vývojáře musíte otevřít před přechodem na adresu URL).

  2. Přejděte na kartu Network (Síť), čímž zobrazíte všechny síťové požadavky.

  3. Vyberte požadavek pro libovolný soubor CSS v seznamu požadavků.

    V sekci Záhlaví odpovědí podrobností požadavku zkontrolujte, zda obsahuje záhlaví s názvem x-cache. Toto záhlaví zajišťuje, že požadavek je obsluhován prostřednictvím okrajových serverů a lze jej uložit do mezipaměti. Pokud je hodnota x-cache nastavena na CONFIG_NOCACHE nebo některou jinou hodnotu obsahující výraz NOCACHE, nastavení není správné.

    Záhlaví odpovědi s názvem x-cache a hodnotou přístupů do mezipaměti.

  4. Podobně jako v předchozím kroku vyberte požadavek Stránka a zkontrolujte jeho záhlaví. Je-li hodnota x-cache nastavena na CONFIG_NOCACHE, vaše nastavení funguje správně.

    Záhlaví odpovědi s názvem x-cache a hodnotou CONFIG_NOCACHE pole Stránka.

Nastavení pravidla WAF pro analýzu příchozích požadavků

Dalším krokem v nastavení je konfigurace pravidel WAF pro příchozí požadavky. V tomto článku se budeme zabývat pouze základními kroky. Pokročilou konfiguraci WAF najdete v části Firewall webových aplikací Azure v Azure Front Door.

  1. V levém podokně vyberte Zabezpečení.

    Karta Zabezpečení pro konfiguraci Azure Front Door.

    Během nastavení rychlého vytvoření jsme již nastavili novou zásadu WAF, která se zde zobrazuje. Pokud jste však tento krok přeskočili, můžete novou zásadu nastavit výběrem Nová.

  2. Vyberte název zásady WAF.

  3. Vyberte Nastavení zásad a pak:

    1. Povolit kontrolu textu požadavku: Toto políčko zaškrtněte, pokud chcete, aby kromě souborů cookie, záhlaví a adres URL byl kontrolován i text požadavku.

    2. Adresa URL pro přesměrování: Zadejte adresu URL, která nepatří webu. Tato adresa URL je umístění, kam by byl uživatel přesměrován, pokud by bylo k přesměrování nastaveno pravidlo WAF. Tato adresa URL musí být veřejně a anonymně přístupná.

    3. Blokovat stavový kód požadavku: Tento stavový kód HTTP je vrácen uživateli, pokud je požadavek blokován řešením WAF.

    4. Blokovat text odpovědi: Zde můžete přidat vlastní zprávu, která se uživateli zobrazí, pokud je požadavek blokován řešením WAF.

    Nastavení zásad pro WAF.

  4. Chcete-li konfigurovat sadu pravidel, podle které bude vyhodnocen každý požadavek, proveďte následující:

    1. V levém podokně vyberte Spravovaná pravidla.

      Spravovaná pravidla – sada pravidel

    2. Na panelu nástrojů vyberte Přiřadit a poté vyberte ze seznamu výchozích sad pravidel. Spravované sady pravidel jsou spravovány společností Microsoft a pravidelně aktualizovány. Další informace o sadách pravidel najdete v části Skupiny pravidel a pravidla DRS firewallu webových aplikací.

      Správa sady pravidel – Přiřadit

Po přiřazení sady spravovaných pravidel je vaše nastavení dokončeno. V dodatečném kroku se můžete také podívat na nastavení seznamů vyloučení pro stávající pravidla a povolení vlastních pravidel.

Důležité

Ve výchozím nastavení je WAF nastaveno v režimu Zásady detekce, který detekuje problémy podle definované sady pravidel a protokoluje je. Tento režim však neblokuje požadavky. Chcete -li blokovat požadavky, musíte přepnout WAF do režimu Prevence.

Doporučujeme provést důkladné testování v režimu prevence, abyste ověřili, že všechny scénáře fungují, a zajistili, že nebudete muset upravovat sadu pravidel nebo přidávat zásady vyloučení. Režim prevence byste měli povolit až poté, co ověříte, že celé nastavení funguje podle očekávání.

Nastavení webů Power Pages, aby přijímaly provoz pouze z Azure Front Door

Posledním krokem v tomto nastavení je zajistit, aby váš web Power Pages přijímal provoz pouze z Azure Front Door. Pro toto ověření budeme muset povolit omezení IP adres na webu.

Chcete-li zjistit rozsah IP adres, na kterých Azure Front Door funguje, přejděte do části Jak nastavím přístup ke svému back-endu pouze pro Azure Front Door?.

Poznámka:

Weby Power Pages nepodporují filtrování na bázi X-Azure-FDID.

Zvýšení dobu odezvy původu

Ve výchozím nastavení má Azure Front Door časový limit odezvy původu 60 sekund. Doporučujeme však zvýšit tuto hodnotu na 240 sekund, abyste zajistili, že dlouho trvající scénáře, jako je nahrávání souborů nebo export do aplikace Excel, budou fungovat podle očekávání.

  1. V levém podokně vyberte Správce koncových bodů.

    Vyberte správce koncových bodů.

  2. Vyberte Upravit koncový bod.

    Vyberte pro úpravu koncového bodu.

  3. V pravém horním rohu vyberte Vlastnosti koncového bodu.

    Výběr vlastností pro koncový bod.

  4. Změňte dobu odezvy původu na 240 sekund a poté vyberte Aktualizovat.

    Nastavení doby odezvy původu koncového bodu na 240 sekund.

Viz také

Co je Azure Front Door?
Rychlý start: Vytvořte profil Azure Front Door – portál Azure
Vytvoření vlastní domény v Azure Front Door Standard/Premium SKU pomocí portálu Azure Portal
Jak nastavím přístup ke svému back-endu pouze pro Azure Front Door?
Podmínky shody modulu pravidel Azure Front Door