Az Azure Front Door használata Azure Storage-blobokkal
Az Azure Front Door felgyorsítja a statikus tartalmak Azure Storage-blobokból való továbbítását, és biztonságos és méretezhető architektúrát tesz lehetővé. A statikus tartalomkézbesítés számos különböző használati esetben hasznos, beleértve a webhely üzemeltetését és a fájlkézbesítést.
Felépítés
Ebben a referenciaarchitektúrában egyetlen forrással rendelkező tárfiókot és Front Door-profilt helyez üzembe.
Adatfolyam
Az adatok az alábbiak szerint haladnak végig a forgatókönyvön:
- Az ügyfél egy egyéni tartománynévvel és a Front Door által biztosított TLS-tanúsítvánnyal létesít biztonságos kapcsolatot az Azure Front Doorhoz. Az ügyfél kapcsolata egy közeli Front Door jelenléti ponton (PoP) megszűnik.
- A Front Door webalkalmazás tűzfala (WAF) megvizsgálja a kérést. Ha a WAF megállapítja, hogy a kérelem kockázati szintje túl magas, akkor blokkolja a kérést, és a Front Door HTTP 403 hibaválaszt ad vissza.
- Ha a Front Door PoP gyorsítótára érvényes választ tartalmaz erre a kérésre, a Front Door azonnal visszaadja a választ.
- Ellenkező esetben a PoP a Microsoft gerinchálózatának használatával elküldi a kérést a forrástárfióknak, bárhol is legyen a világon. A PoP egy külön, hosszú élettartamú TCP-kapcsolattal csatlakozik a tárfiókhoz. Ebben az esetben a Private Link használatával biztonságosan csatlakozhat a tárfiókhoz.
- A tárfiók választ küld a Front Door PoP-nak.
- Amikor a poP megkapja a választ, azt a gyorsítótárában tárolja a későbbi kérésekhez.
- A poP visszaadja a választ az ügyfélnek.
- Az Azure Storage tűzfal blokkolja a közvetlenül a tárfiókra irányuló, interneten keresztül érkező kéréseket.
Összetevők
- Az Azure Storage statikus tartalmat tárol blobokban.
- Az Azure Front Door bejövő kapcsolatokat fogad az ügyfelektől, átvizsgálja őket a WAF-ben, biztonságosan továbbítja a kérést a tárfióknak, és gyorsítótárazza a válaszokat.
Alternatívák
Ha egy másik felhőtárhely-szolgáltató statikus fájljaival rendelkezik, vagy ha a tulajdonában és karbantartásában lévő infrastruktúrán statikus tartalmat tárol, a forgatókönyv nagy része továbbra is érvényben marad. Azonban figyelembe kell vennie, hogyan védi a bejövő forgalmat a forráskiszolgáló felé, hogy ellenőrizze, hogy az a Front Dooron keresztül érkezik-e. Ha a társzolgáltató nem támogatja a Private Link szolgáltatást, fontolja meg egy alternatív megközelítés használatát, például a Front Door szolgáltatáscímkének engedélyezését és a X-Azure-FDID
fejléc vizsgálatát.
Forgatókönyv részletei
A statikus tartalomkézbesítés számos esetben hasznos, például az alábbi példákban:
- Képek, CSS-fájlok és JavaScript-fájlok kézbesítése webalkalmazásokhoz.
- Fájlok és dokumentumok, például PDF-fájlok vagy JSON-fájlok kiszolgálása.
- Nem streamelt videó továbbítása.
A statikus tartalom természeténél fogva nem változik gyakran. A statikus fájlok mérete is nagy lehet. Ezek a jellemzők jó választássá teszik a gyorsítótárazáshoz, ami javítja a teljesítményt, és csökkenti a kérések kiszolgálásának költségeit.
Összetett forgatókönyv esetén egyetlen Front Door-profil statikus tartalmakat és dinamikus tartalmakat szolgálhat ki. Az egyes forrástípusokhoz külön forráscsoportokat használhat, a Front Door útválasztási képességeivel pedig a bejövő kéréseket a megfelelő forráshoz irányíthatja.
Considerations
Méretezhetőség és teljesítmény
A Front Door tartalomkézbesítési hálózatként (CDN) gyorsítótárazza a tartalmat a poP-k globálisan elosztott hálózatán. Ha egy válasz gyorsítótárazott másolata elérhető egy PoP-ben, a Front Door gyorsan válaszolhat a gyorsítótárazott válaszsal. A gyorsítótárból visszaküldött tartalom javítja a megoldás teljesítményét, és csökkenti a forrás terhelését. Ha a PoP nem rendelkezik érvényes gyorsítótárazott válaszsal, a Front Door forgalomgyorsító képességei csökkentik a forrásból származó tartalom kiszolgálásának idejét.
Biztonság
Hitelesítés
A Front Door úgy van kialakítva, hogy internetkapcsolattal rendelkező legyen, és ez a forgatókönyv a nyilvánosan elérhető blobokhoz van optimalizálva. Ha hitelesítenie kell a blobokhoz való hozzáférést, fontolja meg a közös hozzáférésű jogosultságkódok használatát, és győződjön meg arról, hogy engedélyezi a Lekérdezési sztring lekérdezési sztringjének használatát, hogy elkerülje a Front Door számára a kérelmek hitelesítés nélküli ügyfeleknek való kiszolgálását. Ez a megközelítés azonban nem feltétlenül használja hatékonyan a Front Door-gyorsítótárat, mivel minden más közös hozzáférésű jogosultságkóddal rendelkező kérést külön kell elküldeni a forrásnak.
Forrásbiztonság
A Front Door biztonságosan csatlakozik az Azure Storage-fiókhoz a Private Link használatával. A tárfiók úgy van konfigurálva, hogy megtagadja a közvetlen hozzáférést az internetről, és hogy csak a Front Door által használt privát végpontkapcsolaton keresztül engedélyezze a kéréseket. Ez a konfiguráció biztosítja, hogy a Front Door minden kérést feldolgoz, és ne tárja fel a tárfiók tartalmát közvetlenül az internetre. Ehhez a konfigurációhoz azonban az Azure Front Door prémium szintű szintje szükséges. Ha a standard szintet használja, a tárfióknak nyilvánosan hozzáférhetőnek kell lennie. Használhat közös hozzáférésű jogosultságkódot a tárfiókhoz érkező kérések védelméhez, és vagy rendelkezhet az ügyfél minden kéréséhez tartozó aláírással, vagy a Front Door szabálymotor használatával csatolhatja azt a Front Doorból.
Custom domain names
A Front Door támogatja az egyéni tartományneveket, és ezekhez a tartományokhoz TLS-tanúsítványokat állíthat ki és kezelhet. Egyéni tartományok használatával gondoskodhat arról, hogy az ügyfelek megbízható és ismerős tartománynévből fogadják a fájlokat, és hogy a TLS minden kapcsolatot titkosítson a Front Doorhoz. Ha a Front Door kezeli a TLS-tanúsítványokat, elkerülheti az érvénytelen vagy elavult TLS-tanúsítványok miatti kimaradásokat és biztonsági problémákat.
Az Azure Storage az egyéni tartományneveket is támogatja, de egyéni tartomány használatakor nem támogatja a HTTPS-t. A Front Door a legjobb módszer az egyéni tartománynév tárfiókkal való használatára.
Webalkalmazási tűzfal
A Front Door WAF felügyelt szabálya beszkenneli a gyakori és újonnan megjelenő biztonsági fenyegetésekre vonatkozó kéréseket. Javasoljuk, hogy a WAF és a felügyelt szabályokat statikus és dinamikus alkalmazásokhoz is használja.
A Front Door WAF használatával sebességkorlátozást és geoszűrést is végezhet, ha szüksége van ezekre a képességekre.
Resiliency
A Front Door egy magas rendelkezésre állású szolgáltatás, és globálisan elosztott architektúrája miatt ellenálló az önálló Azure-régiók és poP-k hibáival szemben.
A Front Door cache használatával csökkentheti a tárfiók terhelését. Ha a tárfiók nem érhető el, előfordulhat, hogy a Front Door továbbra is képes lesz a gyorsítótárazott válaszok kiszolgálására, amíg az alkalmazás helyre nem áll.
A tárfiók rugalmasságának figyelembevételével tovább javíthatja a teljes megoldás rugalmasságát. További információ: Azure Storage-redundancia. Másik lehetőségként több tárfiókot is üzembe helyezhet, és több forrást is konfigurálhat a Front Door-forráscsoportban, és az egyes források prioritásának konfigurálásával konfigurálhatja a források közötti feladatátvételt. További információ: Origins and origin groups in Azure Front Door.
Költségoptimalizálás
A gyorsítótárazás segíthet csökkenteni a statikus tartalom kézbesítésének költségeit. A Front Door poP-jai a válaszok másolatait tárolják, és ezeket a gyorsítótárazott válaszokat minden további kéréshez el tudják küldeni. A gyorsítótárazás csökkenti a kérelem terhelését a forráson. A nagy léptékű statikus tartalomalapú megoldásokban, különösen a nagy fájlokat tartalmazó megoldásokban a gyorsítótárazás jelentősen csökkentheti a forgalmi költségeket.
A Private Link ebben a megoldásban való használatához telepítenie kell a Front Door prémium szintű szintjét. A standard szintet akkor használhatja, ha nem kell blokkolnia a tárfiókba közvetlenül bemenő forgalmat. További információ: Origin security.
A forgatókönyv üzembe helyezése
Ha bicep- vagy JSON ARM-sablonokkal szeretné üzembe helyezni ezt a forgatókönyvet, tekintse meg ezt a rövid útmutatót.
Ha ezt a forgatókönyvet a Terraform használatával szeretné üzembe helyezni, tekintse meg ezt a rövid útmutatót.
További lépések
Ismerje meg, hogyan hozhat létre Front Door-profilt.