Comentarios

Configuración de Azure Front Door con portais

  • Artigo
  • 9 minutos de lectura

Como creador de portales, podes usar Azure Front Door con Power Apps portais para usar as súas capacidades de caché de borde e firewall de aplicacións web (WAF). Neste artigo, aprenderás a configurar Porta de entrada Azure con portais.

Nota

Tamén pode configurar Azure Front Door con Power Pages. Máis información: Que é Power Pages

Nota

Siga estes pasos para configurar Azure Front Door con portais:

  1. Configure o extremo de Azure Front Door e o nome de dominio personalizado que utilizarán os usuarios do portal.
  2. Configure o seu portal como orixe.
  3. Configure as regras de encamiñamento para almacenar en caché solicitudes estáticas.
  4. Configure as regras de WAF para analizar as solicitudes entrantes.
  5. Configure o portal para aceptar o tráfico só desde Azure Front Door.

Configuración do extremo de Azure Front Door e o nome de dominio personalizado

Nesta sección, aprenderá a configurar o servizo Azure Front Door e habilitar un nome de dominio personalizado para esta configuración.

Requisitos previos

  • Unha subscrición a Azure co acceso para crear novos servizos.

  • Un nome de dominio personalizado e acceso ao provedor de DNS para a configuración do nome de dominio personalizado.

  • Un certificado SSL que se usará para o nome de dominio personalizado. O certificado debe cumprir os requisitos mínimos dos portais.

  • Acceso de propietario aos portais, para configurar o nome de dominio personalizado.

Configuración do extremo de Azure Front Door

Nota

Se xa creou o recurso de Azure Front Door, vaia ao paso 3 do seguinte procedemento.

  1. Inicie sesión no Portal de Azure e cree un novo recurso de Azure Front Door (estándar ou Premium). Máis información: Inicio rápido: crear un perfil estándar ou premium de Azure Front Door - portal de Azure

    Captura de pantalla que mostra a páxina Comparar ofertas onde se crea un recurso de Azure Front Door.

  2. Seleccione Creación rápida.

    Suxestión

    A maioría das configuracións de Azure Front Door pódense cambiar máis tarde.

    Captura de pantalla da configuración de Azure Front Door descrita no paso 3.

  3. Seleccione ou complete os seguintes detalles para configurar o recurso.

    Opción Descripción
    Detalles do proxecto Configuración relacionada coa organización de recursos, similar a calquera outro recurso de Azure.
    Subscrición Seleccione a subscrición onde se creará o recurso de Azure Front Door.
    Grupo de recursos Seleccione o grupo de recursos para Azure Front Door. Tamén pode crear un novo grupo de recursos.
    Localización do grupo de recursos Localización do grupo de recursos.
    Detalles do perfil Configuración para Azure Front Door.
    Nome Nome do recurso de Azure Front Door.
    Nivel Seleccione un nivel para o recurso de Azure Front Door. Para este artigo, seleccionamos o nivel Premium, que permite acceder ao conxunto de regras xestionadas por Microsoft e ao conxunto de regras de prevención de bots para WAF.
    Configuración do extremo Configuración do extremo de Azure Front Door.
    Nome do extremo Introduza un nome para as solicitudes de Azure Front Door. Este nome é o URL real que servirá o tráfico para os usuarios. Máis tarde, configuraremos un nome de dominio personalizado que apunte a este URL.
    Tipo de orixe Seleccione Personalizado.
    Nome do servidor de orixe Nome de servidor do seu portal de Power Apps.
    Formato: YourPortalName.powerappsportals.com ou YourPortalName.microsoftcrmportals.com sen https:// ao comezo.
    Por exemplo, contoso.powerappsportals.com
    Ligazón privada Non habilite o servizo de ligazón privada.
    Almacenamento na caché Active o almacenamento na caché. O almacenamento na caché utiliza as capacidades de almacenamento na caché perimetral para o contido estático.
    O almacenamento na caché trátase con máis detalle en "Configuración de regras de encamiñamento para almacenar na caché solicitudes estáticas", máis adiante neste artigo.
    Comportamento do almacenamento na caché da cadea de consulta Seleccione Usar cadea de consulta. Esta opción asegurará que se unha páxina ten contido dinámico que satisfaga a cadea de consulta, ten en conta a cadea de consulta.
    Compresión Active a compresión.
    Política de WAF Cree unha nova política de WAF ou use unha existente.
    Para obter información sobre a política de WAF, vaia a "Configuración de regras de WAF para analizar as solicitudes entrantes" máis adiante neste artigo, e tamén o Titorial: crear unha política de devasa de aplicacións web en Azure Front Door usando o portal de Azure.

  4. Seleccione Revisar e crear e agarde a que remate a configuración. Normalmente tarda entre 5 e 10 minutos.<

  5. Valide a configuración navegando ata o URL do extremo (por exemplo, contoso.example.azurefd.net) e comprobando que mostra o contido do seu portal de Power Apps.

    Captura de pantalla que mostra unha páxina do portal coa faixa "Comece a súa viaxe" e mosaicos de "Historias do campo", "Calendario de eventos" e "Formas de participar".

    Suxestión

    Se ve unha resposta "404 Non se atopou", é posible que a configuración non rematase. Agarde un tempo e ténteo de novo.

Definición dun nome do dominio personalizado

Ata o momento, o extremo de Azure Front Door configurouse para atender o tráfico do back-end dos portais de Power Apps. Non obstante, esta configuración aínda usa o URL de Azure Front Door, o que causará problemas como fallos na comprobación de captcha ou problemas de escala.

Os navegadores web rexeitan as cookies establecidas polos portais de Power Apps cando usa un URL de extremo de Azure Front Door diferente do URL do seu portal. Polo tanto, debe configurar un nome de dominio personalizado tanto para o seu portal como para o extremo de Azure Front Door.

  1. Configure un nome de dominio personalizado no seu portal. Máis información: Engadir un nome de dominio personalizado

  2. Active o nome de dominio personalizado do seu portal no recurso de Azure Front Door facendo o seguinte:

    1. Actualice o seu fornecedor de DNS eliminando o rexistro CNAME creado anteriormente durante a configuración do dominio personalizado dos portais. Só se debería actualizar CNAME; non elimine o nome do servidor de orixe. DNS dirixirá CNAME ao extremo de Azure Front Door. O único propósito de engadir CNAME era asegurar que o nome de servidor personalizado estará presente nos portais. Esta presenza garante que os portais poidan enviar tráfico a este nome de dominio personalizado a través de Azure Front Door e todas as cookies do portal tamén terán o dominio configurado correctamente.

    2. Configure o nome de dominio personalizado no punto final de Azure Front Door seguindo estes pasos: Cree un dominio personalizado en Azure Front Door Standard/Premium SKU usando o Azure Portal.

  3. Comprobe o seguinte para validar a configuración:

    1. O nome de dominio personalizado apunta ao extremo de Azure Front Door. Use nslookup para comprobar que se devolve correctamente unha entrada CNAME ao extremo de Azure Front Door. Se a entrada CNAME aínda apunta aos portais, debe corrixilo.

    2. A navegación ata o nome de dominio personalizado mostra a páxina do seu portal.

Despois de seguir estes pasos, completou unha configuración básica do extremo de Azure Front Door para o portal. Nos seguintes pasos, actualizará varias opcións e regras para que esta configuración sexa máis eficiente e mellor ao tratar diferentes casos de uso.

Configuración do portal como servidor de orixe

O seguinte paso é optimizar a configuración do servidor de orixe para garantir que a configuración funcione correctamente. Use o Xestor de extremos nas configuracións de Azure Front Door no portal de Azure para actualizar a configuración do grupo de orixe.

Captura de pantalla do xestor de extremos que mostra o mosaico de grupos de orixe seleccionado.

Durante a configuración de creación rápida que realizou anteriormente, introduciu detalles do extremo que crearon automaticamente a configuración co nome grupo-orixe-predeterminado(asociado) (este nome pode variar dependendo da configuración local). Para este paso, modificará a configuración do grupo-orixe-predeterminado. A seguinte imaxe mostra o aspecto da configuración deste paso cando abre o grupo de orixe por primeira vez.

Captura de pantalla que mostra a páxina Actualizar grupo de orixe tal e como se ve por primeira vez. Amplíase a sección de Sondas de estado.

As orixes en Azure Front Door representan o servizo de back-end ao que se conectan os servidores edge de Azure Front Door para ofrecer contido aos usuarios. Pode engadir varias orixes á súa instancia de Azure Front Door para obter contido de varios servizos de back-end.

Suxestión

Os portais de Power Apps ofrecen alta dispoñibilidade na súa capa de servizo, polo que é suficiente un único servidor de orixe cando se configuran as orixes dos portais.

A única orixe dos portais debería apuntar ao nome de servidor do seu portal (que configurou anteriormente). Se non seguiu os pasos de configuración de creación rápida, pode engadir unha nova orixe que apunte ao nome do servidor do seu portal.

A seguinte imaxe mostra un exemplo da configuración de orixe.

Captura de pantalla que mostra a páxina de actualización da orixe coa configuración descrita na seguinte táboa.

Use a seguinte configuración para configurar a orixe dos portais.

Opción Tipo ou valor de configuración
Tipo de orixe Seleccione Personalizado.
Nome do servidor de orixe Escriba o nome de servidor do seu portal. Por exemplo, contoso.powerappsportals.com
Cabeceira do servidor de orixe Insira o seu nome de dominio personalizado ou déixeo en branco. O primeiro garante que Azure Front Door envíe a cabeceira de orixe como nome de dominio personalizado; o segundo faino pasar polo que o que o usuario proporcionase durante a solicitude.
Porto HTTP 80
Porto HTTPS 443
Prioridade 1
Peso 1000
Ligazón privada desactivado
Progresión Seleccione a caixa de verificación Activar esta orixe.

Despois de configurar a orixe e volver ao grupo de orixe, actualice a configuración das sondas de estado e as opcións de equilibrio de carga como se describe na seguinte táboa.

Opción Tipo ou valor de configuración
Sondas de estado As sondas de estado son un mecanismo para garantir que o servizo de orixe está en funcionamento e para tomar as decisións de encamiñamento do tráfico en función dos resultados da sonda. Neste caso, non precisamos sondas de estado, polo que o desactivamos.
Equilibrio de carga Debido a que temos unha única orixe configurada e as sondas de estado están desactivadas, esta configuración non xogará ningún papel nesta configuración.

Comprobe que a configuración do grupo de orixe imita a seguinte imaxe.

Captura de pantalla que mostra a páxina Actualizar grupo de orixe coa configuración descrita nas táboas anteriores e a sección Sondas de estado contraída.

Configuración das regras de encamiñamento para almacenar na caché solicitudes estáticas

As rutas determinan como usamos as capacidades de almacenamento na caché perimetral de Azure Front Door para mellorar a escalabilidade dun portal. A configuración de rutas tamén é un paso importante para garantir que non almacenemos na caché contido dinámico servido polo portal, o que pode provocar un acceso non desexado aos datos.

Configure as rutas.

Para a configuración das regras, teremos que facer o seguinte:

  1. Axuste a configuración das rutas.
  2. Configure un conxunto de regras.
  3. Asocie o conxunto de regras a unha ruta.
  4. Valide as regras e a configuración da ruta.

Axuste da configuración das rutas

Para axustar a configuración das rutas, seleccione Xestor de extremos no panel esquerdo, seleccione Rutas e, a continuación, seleccione a ruta predeterminada. A ruta por defecto créase durante a experiencia de configuración de creación rápida.

Captura de pantalla que mostra a pantalla do xestor de extremos co mosaico de rutas e seleccionado.

Actualice a configuración da ruta segundo se describe na seguinte táboa.

Opción Configuración
Sección de dominios
Dominios Nome de dominio que utilizou antes ao configurar o nome de dominio personalizado.
Padróns aos que axustarse Defínao como /* (valor predeterminado); todas as solicitudes do portal enviaranse á mesma orixe na nosa configuración.
Protocolos aceptados Defínao como Só HTTPS para garantir que todo o tráfico proporcionado é seguro.
Redireccionar Seleccione a caixa de verificación Redirixir todo o tráfico para usar HTTPS.
Sección do grupo de orixe
Grupo de orixe Estableza o Estableza o grupo de orixe que definiu anteriormente.
Camiño de orixe Mantéñase baleiro.
Protocolo de reenvío Estableza Só HTTPS ou Axustar á solicitude entrante.
Sección de almacenamento na caché
Almacenamento na caché Seleccione a caixa de verificación Activar o almacenamento na caché se quere empregar o almacenamento na caché perimetral.
Comportamento do almacenamento na caché da cadea de consulta Seleccione Usar cadea de consulta para garantir que se poida proporcionar contido dinámico baseado na cadea de consulta.
Compresión Seleccione Activar a compresión para optimizar a entrega de contido.

Configuración dun conxunto de regras

Os conxuntos de regras rexen como se debe almacenar na caché o contido. Este paso é importante porque regula como o contido será almacenado na caché polos servidores edge para mellorar a escala do portal. Non obstante, un conxunto de regras incorrectamente configurado pode facer que se almacene na caché contido dinámico que se debería proporcionar específicamente para cada usuario.

Para configurar correctamente o conxunto de regras, é importante que comprenda o tipo de contido que está a proporcionar o seu portal. Esta comprensión axuda a configurar o conxunto de regras empregando regras eficaces. Para o escenario deste artigo, o portal usa contido dinámico en todas as páxinas e tamén proporciona ficheiros estáticos; polo tanto, o portal está intentando conseguir o seguinte:

  • Todos os ficheiros estáticos almacénanse na caché e proporciónanse desde os servidores edge.
  • Non se garda na caché ningún contido da páxina.

Para configurar este conxunto de regras

  1. No panel esquerdo, seleccione Conxunto de regras e, a continuación, seleccione Engadir un conxunto de regras.

    Captura de pantalla que mostra a pantalla do conxunto de regras co comando Engadir.

  2. Insira un nome do conxunto de regras e logo gárdeo.

    Cree un novo conxunto de regras.

Agora configuremos o conxunto de regras en función do requirimento empresarial, coa seguinte configuración para cumprir os requisitos do escenario mencionado anteriormente.

Requisito: Todos os ficheiros estáticos almacénanse na caché e proporciónanse desde os servidores edge

O portal neste escenario pode conter ficheiros estáticos coas extensións de nome de ficheiro .css, .png, .jpg, .js, .svg, .woff ou .ico. Por iso, necesitamos unha regra para avaliar a extensión do nome do ficheiro da solicitude e comprobar se hai tipos de ficheiros específicos.

Nota

Hai outras formas de escribir esta regra, como usando o URL da solicitude ou o nome do ficheiro. Para obter máis información sobre as condicións coincidentes das regras de Azure Front Door, visite Condicións de coincidencia do motor das regras de Azure Front Door.

Exemplo de condición das extensións do ficheiro de solicitude.

Na seguinte configuración de acción, substituirá o encabezado de caché establecido polos portais para que estes ficheiros se garden un pouco máis na caché do navegador. De xeito predeterminado, os portais establecen a caducidade da caché nun día. Pero anularémolo neste escenario e establecerémolo en sete días configurando un Caducidade da caché acción e ambientación Comportamento da caché a Anular como se mostra na seguinte imaxe.

Captura de pantalla que mostra unha acción THEN chamada "Caducidade da caché" co comportamento da caché configurado como Anular e especificado como 7 días.

Ao final, a regra completa aseméllase á seguinte imaxe.

Captura de pantalla que mostra a condición IF e a acción THEN para almacenar na caché todos os ficheiros estáticos.

Requisito: Non se garda na caché ningún contido da páxina

En xeral, a configuración do portal garante que se unha páxina ten un formulario incrustado (o que significa que está a publicar contido específico dun rexistro), terá o seu valor da cabeceira Control de caché establecido en privado, o que garante que Azure Front Door non almacenará na caché esa solicitude. Non obstante, este método non ten en conta os escenarios nos que está a usar modelos Liquid para incrustar contido específico do usuario nas páxinas, como amosar un rexistro específico a un conxunto de usuarios. Por iso, engadiremos unha regra explícita para garantir que ningunha páxina do portal estea almacenada na caché.

O primeiro paso é configurar a condición. A condición fai unha comprobación inversa do que fixemos na primeira regra e comproba que a solicitude non inclúe ningunha extensión de nome de ficheiro que apunte a un dos tipos de ficheiros que queremos almacenar en caché.

Exemplo dunha condición Non igual das extensións do ficheiro de solicitude.

Na condición de acción, similar á regra anterior, escribiremos unha acción para Caducidade da caché. Non obstante, esta vez, estableceremos o comportamento en Ignorar a caché. Isto garantirá que calquera solicitude que cumpra esta regra non se almacene na caché.

Captura de pantalla que mostra unha acción THEN chamada "Caducidade da caché" co comportamento da caché configurado como Ignorar a caché.

A regra completa aseméllase á seguinte imaxe.

Captura de pantalla que mostra a condición IF e a acción THEN para non almacenar nada na caché agás os ficheiros estáticos.

Asociación do conxunto de regras a unha ruta

Despois de crear o conxunto de regras, o seguinte paso é asocialo a unha ruta.

  1. Seleccione o conxunto de regras e logo seleccione Asociar unha ruta na barra de comandos.

    Seleccione para asociar unha ruta a un conxunto de regras.

  2. Seleccione o nome do extremo e a ruta dispoñible. É posible que haxa varias rutas dispoñibles, así que seleccione a que configurou anteriormente.

    Asocie unha ruta.

  3. Se ten varios conxuntos de regras e desexa definir a orde na que deben ser avaliados, seleccione Cambiar as ordes do conxunto de regras e configure a orde. O noso escenario de exemplo ten só unha regra establecida.

    Cambie a orde dos conxuntos de regras.

  4. Seleccione Feito para rematar.

Validación das regras e a configuración da ruta

Para validar que as regras e as configuracións de rutas funcionan correctamente, asegúrese de que todo o tráfico se proporciona a través de HTTPS e que as regras de almacenamento na caché se avalían correctamente.

Para asegurarse de que todo o tráfico se proporciona a través de HTTPS e que todas as chamadas HTTP se redirixen a HTTPS

  • Insira o nome de dominio nun navegador e asegúrese de que o URL cambia a HTTPS automaticamente mentres se reproduce o contido.

Para garantir que as regras de almacenamento na caché se avalían e funcionan como se esperaba

Para comprobar as regras de almacenamento na caché, teremos que analizar os rastros da rede na barra de ferramentas para programadores dun navegador web para validar que as cabeceiras da caché para os diferentes tipos de contido están configuradas correctamente.

Nota

As modificacións da regra poden tardar até 10 minutos en reflectirse.

  1. Abra unha nova pestana do navegador, abra a barra de ferramentas do programador e navegue ata o URL do portal (asegúrese de abrir a barra de ferramentas do programador antes de navegar ata o URL).

  2. Vaia á pestana de rede para ver todas as solicitudes de rede.

  3. Seleccione unha solicitude para calquera ficheiro CSS da lista de solicitudes.

    Na sección Cabeceiras de resposta dos detalles da solicitude, asegúrese de que unha cabeceira chamada x-cache está presente. Esta cabeceira garante que a solicitude se atende a través de servidores edge e se pode gardar na caché. Se o valor de x-cache está definido en CONFIG_NOCACHE —ou calquera outro valor que conteña o termo NOCACHE— a configuración non é correcta.

    Detalles dunha solicitude que mostran a sección de cabeceiras de resposta que inclúe a liña x-cache: TCP_HIT, que indica que a regra está a ser avaliada correctamente.

  4. De xeito semellante ao paso anterior, seleccione a solicitude Páxina e comprobe os seus encabezados. Se x-cache está definido en CONFIG_NOCACHE, a súa configuración funciona correctamente.

    Detalles dunha solicitude que mostran a sección de cabeceiras de resposta que inclúe a liña x-cache: CONFIG-NOCACHE, que indica que a regra está a ser avaliada correctamente.

Configuración das regras de WAF para analizar as solicitudes entrantes

O seguinte paso da configuración é configurar as regras de WAF nas solicitudes entrantes. Neste artigo, trataremos só os pasos básicos. Para a configuración de WAF avanzada, vaia a Desava de aplicacións web de Azure en Azure Front Door.

  1. No panel esquerdo, seleccione Seguranza.

    Pantalla de seguranza para a configuración de Azure Front Door.

    Durante a configuración de creación rápida, xa configuramos unha nova política de WAF que aparece aquí. Non obstante, se omitiu ese paso, pode configurar unha nova política seleccionando Nova.

  2. Seleccione o nome da política de WAF.

  3. Seleccione Configuración da política, e despois:

    1. Activar a inspección do corpo da solicitude: Marque esta caixa de verificación se desexa que se inspeccione o corpo da solicitude ademais das cookies, as cabeceiras e os URL.

    2. URL de redireccionamento: Insira un URL que non sexa do portal. Este URL é o lugar a onde se redirixiría ao usuario se se configurase unha regra de WAF para redireccionar. Asegúrese de que este URL sexa accesible de forma pública e anónima.

    3. Código de estado de solicitude bloqueada: Este código de estado HTTP devólvese ao usuario se a solicitude está bloqueada pola WAF.

    4. Corpo de resposta de bloqueo: Pode engadir aquí unha mensaxe personalizada que se mostrará ao usuario se a solicitude está bloqueada pola WAF.

    Configuración da política de WAF.

  4. Para configurar o conxunto de regras coas que se avaliarán todas as solicitudes, faga o seguinte:

    1. No panel esquerdo, seleccione Regras xestionadas.

      Regras xestionadas: conxunto de regras.

    2. Na barra de comandos, seleccione Asignar e, a continuación, seleccione na lista de conxuntos de regras predeterminados. Microsoft xestiona os conxuntos de regras xestionados e actualízanse regularmente. Para obter máis información sobre conxuntos de regras, vaia a Regras e grupos de regras de DRS da devasa de aplicacións web.

      Xestionar conxunto de regras: Asignar.

Despois de asignarse o conxunto de regras xestionado, a configuración complétase. Como paso adicional, tamén pode ver como configurar listas de exclusión para as regras existentes e habilitar regras personalizadas.

Importante

Por defecto, a WAF está configurada no modo de Política de detección, que detecta problemas no conxunto de regras definido e os rexistra. Non obstante, este modo non bloquea as solicitudes. Para bloquear as solicitudes, hai que cambiar a WAF ao modo de Prevención.

Recomendámoslle que realice probas exhaustivas en modo de prevención para verificar que todos os escenarios funcionan e para asegurarse de que non ten que modificar o conxunto de regras nin engadir políticas de exclusión. Só debería habilitar o modo de prevención despois de verificar que toda a configuración funciona como se esperaba.

Configuración dos portais de Power Apps para aceptar o tráfico só desde Azure Front Door

O último paso desta configuración é asegurarse de que o seu portal acepta tráfico só desde Azure Front Door. Para esta verificación, teremos que habilitar Restricións de enderezos IP no portal.

Para atopar o intervalo de enderezos IP no que opera Azure Front Door, vaia a Como podo bloquear o acceso ao meu back-end só para Azure Front Door?

Nota

Os portais de Power Apps non son compatibles coa filtraxe baseada en X-Azure-FDID.

Aumentar o tempo de resposta de orixe

De xeito predeterminado, Azure Front Door ten un tempo de espera de resposta de orixe de 60 segundos. Non obstante, recomendamos aumentalo a 240 segundos para garantir que os escenarios de longa duración, como a carga de ficheiros ou a exportación a Excel, funcionen como se espera.

  1. No panel esquerdo, seleccione Xestor de extremos.

    Seleccione Xestor de extremos.

  2. Seleccione Editar extremo.

    Selección para editar o extremo.

  3. Na esquina superior dereita, seleccione Propiedades do extremo.

    Seleccione as propiedades do extremo.

  4. Cambie o tempo de resposta de orixe a 240 segundos e seleccione Actualizar.

    Estableza o tempo de resposta de orixe do extremo en 240 segundos.

Consulte tamén

Que é Azure Front Door?
Inicio rápido: cree un perfil de Azure Front Door - Azure Portal
Cree un dominio personalizado en Azure Front Door Standard/Premium SKU usando o Azure Portal
Como podo bloquear o acceso ao meu back-end só para Azure Front Door?
Condicións de coincidencia do motor das regras de Azure Front Door