Co to jest zestaw reguł w usłudze Azure Front Door?

  • Artykuł

Zestaw reguł to dostosowany aparat reguł, który grupuje kombinację reguł w jeden zestaw. Zestaw reguł można skojarzyć z wieloma trasami. Zestaw reguł umożliwia dostosowanie sposobu przetwarzania i obsługi żądań na brzegu usługi Azure Front Door.

Typowe obsługiwane scenariusze

  • Implementowanie nagłówków zabezpieczeń w celu zapobiegania lukom w zabezpieczeniach opartym na przeglądarce, takich jak HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy, X-Frame-Options i Access-Control-Allow-Origin nagłówki dla scenariuszy współużytkowania zasobów między źródłami (CORS). Atrybuty oparte na zabezpieczeniach można również definiować za pomocą plików cookie.

  • Kierowanie żądań do wersji aplikacji mobilnych lub klasycznych na podstawie typu urządzenia klienckiego.

  • Użycie funkcji przekierowania w celu zwrócenia 301, 302, 307 i 308 przekierowań do klienta w celu przekierowania ich do nowych nazw hostów, ścieżek, ciągów zapytań lub protokołów.

  • Dynamiczne modyfikowanie konfiguracji buforowania trasy na podstawie żądań przychodzących.

  • Ponownie zapisz ścieżkę adresu URL żądania i przekazuje żądanie do odpowiedniego źródła w skonfigurowanej grupie pochodzenia.

  • Dodaj, zmodyfikuj lub usuń nagłówek żądania/odpowiedzi, aby ukryć poufne informacje lub przechwycić ważne informacje za pośrednictwem nagłówków.

  • Obsługa zmiennych serwera w celu dynamicznej zmiany nagłówka żądania, nagłówków odpowiedzi lub ponownego zapisywania ścieżek adresu URL/ciągów zapytania. Na przykład po załadowaniu nowej strony lub wysłaniu formularza. Zmienna serwera jest obecnie obsługiwana tylko w akcjach zestawu reguł.

Architektura

Zestawy reguł obsługują żądania na brzegu usługi Front Door. Po nadejściu żądania do punktu końcowego usługi Front Door zapora aplikacji internetowej jest najpierw przetwarzana, a następnie ustawienia skonfigurowane w trasie. Te ustawienia obejmują zestaw reguł skojarzony z trasą. Zestawy reguł są przetwarzane w kolejności, w której są wyświetlane w konfiguracji routingu. Reguły w zestawie reguł są również przetwarzane w kolejności ich wyświetlania. Aby wszystkie akcje w każdej regule zostały uruchomione, należy spełnić wszystkie warunki dopasowania w ramach reguły. Jeśli żądanie nie jest zgodne z żadnymi warunkami w konfiguracji zestawu reguł, zostaną zastosowane tylko domyślne ustawienia trasy.

Jeśli wybrano opcję Zatrzymaj ocenę pozostałych reguł, pozostałe zestawy reguł skojarzone z trasą nie zostaną uruchomione.

Przykład

Na poniższym diagramie zasady zapory aplikacji internetowej są przetwarzane jako pierwsze. Następnie konfiguracja zestawu reguł dołącza nagłówek odpowiedzi. Nagłówek zmienia maksymalny wiek kontrolki pamięci podręcznej, jeśli warunek dopasowania jest spełniony.

Diagram przedstawiający sposób zmiany nagłówka odpowiedzi zestawu reguł dla żądania przechodzącego przez punkt końcowy usługi Front Door.

Terminologia

Za pomocą zestawu reguł usługi Front Door można utworzyć dowolną kombinację konfiguracji, z których każda składa się z zestawu reguł. Poniższe wiersze zawierają kilka przydatnych terminologii, które można napotkać podczas konfigurowania zestawu reguł.

  • Zestaw reguł: zestaw reguł, które są skojarzone z jedną lub wieloma trasami.

  • Reguła zestawu reguł: reguła składająca się z maksymalnie 10 warunków dopasowania i 5 akcji. Reguły są lokalne dla zestawu reguł i nie można ich eksportować do użycia w innych zestawach reguł. Tę samą regułę można utworzyć w różnych zestawach reguł.

  • Warunek dopasowania: istnieje wiele warunków dopasowania, które można skonfigurować do analizowania żądania przychodzącego. Reguła może zawierać maksymalnie 10 warunków dopasowania. Warunki dopasowania są oceniane za pomocą operatora AND . Wyrażenie regularne jest obsługiwane w warunkach. Pełną listę warunków dopasowania można znaleźć w artykule Rule set match conditions (Warunki dopasowania zestawu reguł).

  • Akcja: Akcja określa sposób, w jaki usługa Front Door obsługuje żądania przychodzące na podstawie pasujących warunków. Możesz modyfikować zachowania buforowania, modyfikować nagłówki żądań, nagłówki odpowiedzi, ustawiać ponowne zapisywanie adresów URL i przekierowywanie adresów URL. Zmienne serwera są obsługiwane za pomocą akcji. Reguła może zawierać maksymalnie pięć akcji. Pełną listę akcji można znaleźć w artykule Akcje zestawu reguł.

Obsługa szablonów usługi ARM

Zestawy reguł można skonfigurować przy użyciu szablonów usługi Azure Resource Manager. Przykład można znaleźć w temacie Front Door Standard/Premium with rule set (Usługa Front Door Standard/Premium z zestawem reguł). Zachowanie można dostosować przy użyciu fragmentów kodu JSON lub Bicep zawartych w przykładach dokumentacji dotyczących warunków i akcji dopasowania.

Ograniczenia

Aby uzyskać informacje na temat limitów przydziałów, zapoznaj się z tematem Limity, limity przydziału i ograniczenia usługi Front Door.

Następne kroki

  • Dowiedz się, jak utworzyć profil usługi Azure Front Door.
  • Dowiedz się, jak skonfigurować pierwszy zestaw reguł.

Ważne

Usługa Azure Front Door (klasyczna) zostanie wycofana 31 marca 2027 r. Aby uniknąć zakłóceń w działaniu usługi, należy przeprowadzić migrację profilów usługi Azure Front Door (wersja klasyczna) do warstwy Azure Front Door Standard lub Premium do marca 2027 r. Aby uzyskać więcej informacji, zobacz Wycofywanie usługi Azure Front Door (wersja klasyczna).

Konfiguracja aparatu reguł umożliwia dostosowanie sposobu obsługi żądań HTTP na brzegu usługi Front Door i zapewnia kontrolowane zachowanie aplikacji internetowej. Aparat reguł dla usługi Azure Front Door (wersja klasyczna) ma kilka kluczowych funkcji, w tym:

  • Wymusza protokół HTTPS, aby zapewnić, że wszyscy użytkownicy końcowi wchodzą w interakcję z zawartością za pośrednictwem bezpiecznego połączenia.
  • Implementuje nagłówki zabezpieczeń, aby zapobiec lukom w zabezpieczeniach opartym na przeglądarce, takich jak HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy, X-Frame-Options i Nagłówki Access-Control-Allow-Origin dla scenariuszy współużytkowania zasobów między źródłami (CORS). Atrybuty oparte na zabezpieczeniach można również definiować za pomocą plików cookie.
  • Kierowanie żądań do wersji mobilnych lub klasycznych aplikacji na podstawie wzorców zawartości nagłówków żądań, plików cookie lub ciągów zapytania.
  • Użyj funkcji przekierowania, aby zwrócić 301, 302, 307 i 308 przekierowań do klienta, aby kierować do nowych nazw hostów, ścieżek lub protokołów.
  • Dynamiczne modyfikowanie konfiguracji buforowania trasy na podstawie żądań przychodzących.
  • Ponowne zapisywanie ścieżki URL żądania i przesyłanie dalej żądania do odpowiedniego zaplecza w skonfigurowanej puli zaplecza.

Architektura

Aparat reguł obsługuje żądania na krawędzi. Po wprowadzeniu żądania do punktu końcowego usługi Azure Front Door (wersja klasyczna) zapora aplikacji internetowej jest najpierw przetwarzana, a następnie konfiguracja aparatu reguł skojarzona z domeną frontonu. Jeśli konfiguracja aparatu reguł zostanie przetworzona, oznacza to, że warunek dopasowania został spełniony. Aby wszystkie akcje w każdej regule zostały przetworzone, należy spełnić wszystkie warunki dopasowania w regule. Jeśli żądanie nie jest zgodne z żadnymi warunkami w konfiguracji aparatu reguł, zostanie przetworzona domyślna konfiguracja routingu.

Na przykład na poniższym diagramie aparat reguł jest skonfigurowany do dołączania nagłówka odpowiedzi. Nagłówek zmienia maksymalny wiek kontrolki pamięci podręcznej, jeśli plik żądania ma rozszerzenie .jpg.

Diagram przedstawiający aparat reguł zmieniający maksymalny wiek pamięci podręcznej w nagłówku odpowiedzi, jeśli żądany plik ma rozszerzenie .jpg.

W tym drugim przykładzie zobaczysz, że aparat reguł jest skonfigurowany do przekierowywania użytkowników do wersji mobilnej witryny internetowej, jeśli urządzenie żądające ma typ Mobile.

Diagram przedstawiający aparat reguł, który przekierowuje użytkowników do wersji mobilnej witryny internetowej, jeśli żądanie urządzenia jest typu mobile.

W obu tych przykładach, gdy żaden z warunków dopasowania nie zostanie spełniony, określona reguła routingu jest tym, co jest przetwarzane.

Terminologia

W usłudze Azure Front Door (wersja klasyczna) można tworzyć konfiguracje aparatu reguł dla wielu kombinacji, z których każda składa się z zestawu reguł. Poniżej przedstawiono przydatną terminologię, którą można napotkać podczas konfigurowania aparatu reguł.

  • Konfiguracja aparatu reguł: zestaw reguł, które są stosowane do pojedynczej trasy. Każda konfiguracja jest ograniczona do 25 reguł. Można utworzyć maksymalnie 10 konfiguracji.
  • Reguła aparatu reguł: reguła składająca się z maksymalnie 10 warunków dopasowania i 5 akcji.
  • Warunek dopasowania: istnieje wiele warunków dopasowania, które mogą być używane do analizowania żądań przychodzących. Reguła może zawierać maksymalnie 10 warunków dopasowania. Warunki dopasowania są oceniane za pomocą operatora AND . Aby uzyskać pełną listę warunków dopasowania, zobacz Reguły pasujące warunki.
  • Akcja: Akcje określają, co się stanie z żądaniami przychodzącymi — akcje nagłówka żądania/odpowiedzi, przekazywanie, przekierowania i ponowne zapisywanie są dostępne dzisiaj. Reguła może zawierać maksymalnie pięć akcji; reguła może jednak zawierać tylko jedną konfigurację trasy. Aby uzyskać pełną listę akcji, zobacz Akcje reguł.

Następne kroki

  • Dowiedz się, jak skonfigurować pierwszą konfigurację aparatu reguł.
  • Dowiedz się, jak utworzyć profil usługi Azure Front Door (wersja klasyczna).
  • Dowiedz się więcej o architekturze routingu usługi Azure Front Door (klasycznej).