Konfigurera Azure Front Door med portaler

  • Artikel
  • 14 minuter för att läsa

Som portaltillverkare kan du använda Azure Front Door med Power Apps-portaler för att använda dess funktioner för cachelagring och brandvägg för webbaserade program (WAF). I den här artikeln lär du dig hur du konfigurerar Azure Front Door Standard/Premium (förhandsversion) med portaler.

Anteckning

Följ stegen nedan om du vill konfigurera Azure Front Door med portaler:

  1. Konfigurera Azure Front Door-slutpunkt anpassat domännamn som portalanvändarna ska använda.
  2. Konfigurera portalen som ursprung.
  3. Konfigurera hanteringsregler för att cachelagra statiska begäranden.
  4. Konfigurera WAF-regler för att analysera inkommande förfrågningar.
  5. Konfigurera portalen så att endast trafik accepteras från Azure Front Door.

Konfigurera Azure Front Door-slutpunkt anpassat domännamn.

I det här avsnittet lär du dig hur du konfigurationsservice för Azure Front Door och aktiverar ett anpassat domännamn för den här installationen.

Förutsättningar

  • En Azure-prenumeration med åtkomst för att skapa nya tjänster.

  • Ett anpassat domännamn och åtkomst till DNS-leverantören för att konfigurera ett eget domännamn.

  • Ett SSL-certifikat som används för det anpassade domännamnet. Certifikatet måste uppfylla minimikraven för portaler.

  • Ägaråtkomst till portaler för att konfigurera det egna domännamnet.

Konfigurera Azure Front Door slutpunkt

Anteckning

Om du redan har skapat Azure Front Door-resursen går du till steg 3 i följande procedur.

  1. Logga in på Azure-portalen och skapa en ny Azure Front Door-resurs (Standard eller Premium). Mer information: Snabbstart: Skapa en standard/premiumprofil för Front Door - Azure-portal

    Skärmbild som visar sidan Jämför erbjudanden där du skapar en Azure Front Door-resurs.

  2. Välj Snabbregistrera.

    Tips

    De flesta inställningar för Azure Front Door kan ändras senare.

    Skärmbild av inställningarna för Azure Front Door som beskrivs i steg 3.

  3. Välj eller fyll i följande information för att konfigurera resursen.

    Option Beskrivning
    Projektinformation Inställningar för resursorganisationen, liknande andra Azure-resurser.
    Prenumeration Välj den prenumeration där Azure Front Door-resursen ska skapas.
    Resursgrupp Välj resursgrupp för Azure Front Door. Du kan också skapa en ny resursgrupp.
    Plats för resursgrupp Denna plats för resursgruppen.
    Profilinformation Konfigurationen för Azure Front Door.
    Namn Namnet på Azure Front Door-resursen.
    Nivå Välj en nivå för Azure Front Door-resursen. I den här artikeln har vi valt Premium-nivån som ger åtkomst till den Microsoft-hanterade regeluppsättningen och regeln för förhindrande av användare som angetts för WAF.
    Slutpunktinställningar Inställningar för Azure Front Door slutpunkt.
    Slutpunktnamn Ange ett namn på dina förfrågningar Azure Front Door. Det här namnet är den faktiska URL:en som ska betjäna användarnas trafik. Senare ska vi konfigurera ett eget domännamn som pekar på URL:en.
    Ursprungstyp Välj Kund.
    Ursprungligt värdnamn Värdnamnet för Power Apps-portalen.
    Format: YourPortalName.powerappsportals.com eller YourPortalName.microsoftcrmportals.com utan https:// i början.
    Till exempel: contoso.powerappsportals.com
    Privat länk Aktivera inte den privata länktjänsten.
    Cache Aktivera cachelagring. I cachelagring används funktionerna för cachelagring för statiskt innehåll.
    Cachelagring diskuteras ytterligare i "Konfigurera hanteringsregler för att cachelagra statiska begäranden" längre fram i den här artikeln.
    Funktionssätt för cachelagring av frågesträng Välj Använd frågesträng. Med det här alternativet ser du till att om en sida har dynamiskt innehåll som förser frågesträngen med, tas hänsyn till frågesträngen.
    Komprimering Aktivera komprimering.
    WAF-princip Skapa en ny WAF-princip eller använd en ny.
    Information om WAF-policyn finns i "Ställ in WAF-regler för att analysera inkommande förfrågningar" senare i denna artikel och även Självstudie: Skapa en brandväggspolicy för webbprogram på Azure Front Door med hjälp av Azure -portalen.

  4. Välj Granska + Skapa och vänta tills installationen är klar. Det tar vanligtvis 5 till 10 minuter.<

  5. Verifiera installationen genom att bläddra till slutpunkt URL (till exempel contoso.example.azurefd.net) och kontrollera att innehållet från portalen Power Apps visas.

    Skärmdump som visar en portalsida med bannern "Starta din resa" och brickor för "Berättelser från fältet", "Händelsekalender" och "Sätt att engagera dig på."

    Tips

    Om svaret "404 Kunde ej hittas" visas kanske inte konfigurationen har slutförts. Vänta en stund och försök igen.

Ange namnet på anpassad domän

Hittills har Azure Front Door slutpunkt ställts in för att betjäna trafik från Power Apps-portalens serverdel. Men i den här installationen används fortfarande URL:en till Azure Front Door som kan orsaka problem som t.ex. problem med captcha-kontroll eller skalningsproblem.

Webbläsare avvisar cookies som anges av Power Apps-portaler när du använder en Azure Front Door slutpunkt webbadress som skiljer sig från portalens URL. Därför måste du konfigurera ett eget domännamn både för portalen och Azure Front Door slutpunkt.

  1. Konfigurera ett anpassat domännamn på portalen. Mer information: Lägg ett anpassat domännamn

  2. Aktivera ditt portalanpassade domännamn på Azure Front Door-resursen genom att göra följande:

    1. Uppdatera din DNS-leverantör genom att ta bort CNAME-posten som skapades tidigare under den anpassade domäninställningen för portaler. Endast CNAME bör uppdateras. Ta inte bort ursprungsvärdnamnet. DNS pekar på CNAME på Azure Front Door slutpunkt. Det enda syftet med att lägga till CNAME var att se till att det anpassade värdnamnet finns på portaler. Denna närvaro säkerställer att portaler kan betjäna trafik till det anpassade domännamnet via Azure Front Door, och alla portal-cookies kommer också att ha domänen korrekt konfigurerad.

    2. Konfigurera det anpassade domännamnet på Azure Front Door slutpunkt genom att följa stegen nedan: Skapa en anpassad domän på Azure Front Door Standard/Premium SKU (förhandsversion) med Azure-portal.

  3. Kontrollera följande för att verifiera konfigurationen:

    1. Det anpassade domännamnet pekar på Azure Front Door-slutpunkten. Använd nslookup för att verifiera att en CNAME-post till Azure Front Door -slutpunkten returneras korrekt. Om CNAME-posten fortfarande pekar på portaler måste du rätta till det.

    2. Portalsidan visas när du bläddrar till det anpassade domännamnet.

Efter att ha följt dessa steg har du en grundläggande Azure Front Door slutpunkt slutförd för portalen. I nästa steg kommer du att uppdatera olika inställningar och regler för att göra konfigurationen mer effektiv och bättre på att hantera olika användningsfall.

Konfigurera portalen som en ursprungsserver

Nästa steg är att optimera ursprungsserverns inställningar för att säkerställa att installationen fungerar som den ska. Använd slutpunktansvarig i Azure Front Door-konfigurationer på Azure-portalen för att uppdatera inställningarna för ursprungsgruppen.

Bild på slutpunktsansvarig som visar panelen Ursprungsgrupper som markerad.

Under den snabbkonfiguration du utförde tidigare angav du slutpunkt information som automatiskt skapade konfigurationen med namnet default-origin-group(associated) (namnet kan variera beroende på språkinställningarna). I det här steget ändrar du inställningarna för standardursprungsgruppen. I följande bild visas hur inställningarna för det här steget ser ut när du öppnar ursprungsgruppen för första gången.

Skärmbild som visar den ursprungliga gruppsidan för Uppdatering (sidan kan vara på vilket sätt som helst) som visas för första gången. Avsnittet Hälsa expanderas.

Ursprung i Azure Front Door representerar den backend-tjänst som Azure Front Door-servrarna ansluter till för att servera innehåll till användare. Du kan lägga till flera ursprung i din Azure Front Door-instans om du vill få innehåll från flera backend-tjänster.

Tips

Power Apps-portaler har hög tillgänglighet i servicenivån. Därför räcker det med en server med samma ursprung när portaler konfigureras.

Portalens enda ursprung ska peka på värdnamnet för portalen (som du konfigurerade tidigare). Om du inte följer stegen för snabbinstallation kan du lägga till ett nytt ursprung som pekar på portalvärdsnamnet.

Följande bild visar ett exempel på ursprungskonfigurationen.

Skärmbild med ursprungssidan för Uppdatera med inställningarna som beskrivs i följande tabell.

Använd följande inställningar för att konfigurera ursprunget för portaler.

Option Konfigurationstyp eller värde
Ursprungstyp Välj Kund.
Ursprungligt värdnamn Ange värdnamnet för portalen. Till exempel: contoso.powerappsportals.com
Värdadress för ursprung Ange det egna domännamnet eller lämna det tomt. Den förstnämnda ser till att Azure Front Door skickar ursprungshuvudet som ett eget domännamn. det senare leder till att användarens information passeras när användaren begär det.
HTTP-port 80
HTTPS-port 443
Prioritet 1
Grovlek 1000
Privat länk Inaktiverat
Status Markera kryssrutan Aktivera ursprunget.

När du har konfigurerat ursprunget och kommer tillbaka till ursprungsgruppen uppdaterar du inställningarna för hälsa och alternativ för belastningsutjämning enligt beskrivningen i följande tabell.

Option Konfigurationstyp eller värde
Hälsoavsökningar Hälsocentraler är en mekanism som säkerställer att ursprungsservicen är igång och att fatta beslut om vidarebefordran av trafik beroende på resultatet. I det här fallet behöver vi inte ha hälsoskydd, så vi stängde av det.
Belastningsutjämning Eftersom vi har ett enda ursprung och inställningen för hälsa är inaktiverade, har den här inställningen ingen roll i den här konfigurationen.

Kontrollera att ursprungsgruppens konfiguration ser ut så här:

Skärmbild med ursprungssidan för Uppdatera med inställningarna som beskrivs i föregående tabeller och avsnittet Hälsa har dolts.

Konfigurera hanteringsregler för att cachelagra statiska begäran

Flöden avgör hur Azure Front Door-funktionerna för cachelagring används för att förbättra skalbarheten för en portal. Att konfigurera färdvägar är också ett viktigt steg för att se till att portalen inte cachelagrar dynamiskt innehåll, vilket kan leda till oavsiktlig dataåtkomst.

Konfigurera färdvägar.

För regelinstallationen gör vi följande:

  1. Konfigurera flödeskonfigurationen.
  2. Ange en regeluppsättning.
  3. Associera regeln med en väg.
  4. Verifiera reglerna och vägkonfigurationen.

Konfigurera färdvägskonfigurationen

Om du vill konfigurera färdvägskonfigurationen väljer du slutpunktsansvarig i vänstra rutan, väljer färdväg och väljer sedan standardvägen. Standardväg skapas under installationen.

Bild på skärm av slutpunktsansvarig med panelen Rutter som markerad.

Uppdatera ruttkonfigurationen enligt beskrivningen i följande tabell.

Option Konfiguration
Avsnittet domäner
Domäner Domännamnet du använde när du konfigurerade det anpassade domännamnet tidigare.
Mönster som ska matchas Ange till /* (standardvärde), alla portalförfrågningar skickas till samma ursprung i vår installation.
Godkända protokoll Ange endast HTTPS för att säkerställa att all trafik är säker.
Omdirigera Markera kryssrutan Dirigera om all trafik som ska användas med HTTPS.
Avsnittet Ursprungsgrupp
Ursprungsgrupp Ange ursprungsgruppen du definierade tidigare.
Sökväg till ursprung Låt den vara tom.
Protokollet för vidarebefordran Ange till HTTPS endast eller Matcha begäran om inkommande e-post.
Cacheavsnitt
Cache Markera kryssrutan Aktivera cachelagring om du vill använda cachelagring.
Funktionssätt för cachelagring av frågesträng Välj Använd frågesträng om du vill kontrollera att dynamiskt innehåll baserat på frågesträngen kan användas.
Komprimering Välj Aktivera komprimering för att optimera innehållsleveransen.

Ange en regeluppsättning

Regeluppsättningar styr hur innehåll ska cachelagras. Det här steget är viktigt eftersom det styr hur innehåll cachelagras av edge-servrar för att förbättra skalningen för portalen. En felaktigt konfigurerad regeluppsättning kan emellertid leda till cachelagring av dynamiskt innehåll som ska visas specifikt för varje enskild användare.

För att kunna konfigurera regeln korrekt är det viktigt att du förstår vilken typ av innehåll portalen betjänar. Den här förståelsen hjälper dig att konfigurera regeln som anges med hjälp av effektiva regler. För scenariot i den här artikeln använder portalen dynamiskt innehåll på alla sidor och även statiska filer. Därför försöker portalen göra följande:

  • Alla statiska filer cachelagras och betjänas från edge-servrarna.
  • Inget sidinnehåll cachelagras.

Så här konfigurerar du den här regeluppsättningen

  1. Välj Regeluppsättning i den vänstra rutan och välj sedan Lägg till en regeluppsättning.

    Skärmbild med regeluppsättningsskärmen med kommandot Lägg till.

  2. Ange ett namn på en regeluppsättning och spara den sedan.

    Skapa en ny regeluppsättning.

Nu ska vi konfigurera regeluppsättningen utifrån affärskraven, med följande konfiguration som uppfyller kraven för scenariot som nämnts ovan.

Krav: Alla statiska filer cachelagras och betjänas från edge-servrarna

Portalen i det här scenariot kan innehålla statiska filer med filnamnstillägg för .css, .png, .jpg, .js, .svg, .woff eller .ico. Därför behöver vi en regel för att utvärdera filnamnstillägget för förfrågan och söka efter specifika filtyper.

Anteckning

Det finns andra sätt att skriva regeln, till exempel genom att använda förfrågans URL eller filnamn. Mer information om matchningsvillkor för Azure Front Door-regler finns i Azure Front Door regelmotor.

Exempel: Begär filnamnstillägg.

I följande åtgärdskonfiguration åsidosätter du cachehuvudet som angetts av portaler så att filerna cachelagras lite längre i webbläsaren. Som standard anges en dag för cachelagringen via portaler. Men vi ska åsidosätta det i det här scenariot och ange det till sju dagar. För att göra detta anger vi åtgärden Cache går ut och anger Cache-beteende till Åsidosätt, som visas i följande bild.

Skärmbild med en THEN-åtgärd med namnet Cache går ut med cachefunktioner som har angetts som Åsidosätt och angivna som 7 dagar.

I slutet ser den fullständiga regeln ut så här:

Skärmbild med både IF-villkoret och THEN-åtgärd för cachelagring av alla statiska filer.

Krav: Inget sidinnehåll cachelagras

I allmänhet säkerställer portalinstallationen att om en sida har ett formulär inbäddat i det (vilket innebär att det visar innehåll som är specifikt för en post), kommer det att ha dess rubrikvärde Cache-kontroll till privat, vilket säkerställer att Azure Front Door inte cachelagrar den begäran. I den här metoden tas emellertid inte hänsyn till de scenarier där du använder mallar för att infoga användarspecifikt innehåll på sidorna, till exempel när en viss post visas för en uppsättning användare. Därför lägger vi till en explicit regel för att se till att ingen portalsida cachelagras.

Det första steget är att konfigurera villkoret. Villkoret kontrollerar vad vi gjorde i den första regeln och kontrollerar att förfrågan inte innehåller något filnamnstillägg som pekar på en av de filtyper som vi vill cachelagra.

Exempel på Not equal Begär filnamnstillägg.

I åtgärdsvillkoret, som liknar en tidigare regel, skriver vi en åtgärd för Cache förfaller. Men den här gången ska funktionen åsidosätta cache. På så sätt cachelagras inte alla förfrågningar som uppfyller regeln.

Skärmbild med en THEN-åtgärd med namnet Cache går ut med cachefunktioner som har angetts som Åsidosätt cache.

Den fullständiga regeln ut så här:

Skärmbild med både IF-villkoret och THEN-åtgärd för inte cachelagring av något förutom statiska filer.

Associera regeln med en väg

När du har skapat regeluppsättningen är nästa steg att associera den med en väg.

  1. Markera regeluppsättningen och välj sedan Associera en rutt i kommandofältet.

    Välj om du vill associera en väg på en regeluppsättning.

  2. Markera slutpunkt namn och tillgänglig väg. Det kan finnas flera tillgängliga färdvägar, så välj den som du konfigurerade tidigare.

    Associera en färdväg.

  3. Om du har flera regeluppsättningar och du vill definiera den order som de ska utvärderas i väljer du Ändra regeluppsättningsordning och konfigurerar ordern. Vårt exempelscenario har bara en regeluppsättning.

    Ändra ordning på regeluppsättningarna.

  4. Välj Klar för att slutföra.

Verifiera reglerna och vägkonfigurationen

Kontrollera att regler och flödeskonfigurationer fungerar korrekt genom att kontrollera att all trafik dirigeras via HTTPS och att cachereglerna beräknas korrekt.

Se till att all trafik skickas via HTTPS och att alla HTTP-anrop omdirigeras till HTTPS

  • Ange domännamnet i en webbläsare och se till att URL:en ändras till HTTPS automatiskt medan innehållet renderas.

Se till att cacheregler utvärderas och fungerar som de ska

För att kontrollera cacheregler måste vi analysera nätverksspårning i webbläsarens verktygsfält för utvecklare för att verifiera att cachehuvuden för olika typer av innehåll är korrekt inställda.

Anteckning

Regeländringar kan ta upp till 10 minuter innan de återspeglas.

  1. Öppna en ny flik i webbläsaren, öppna verktygsfältet för utvecklare och bläddra till portalens URL (se till att du öppnar verktygsfältet för utvecklare innan du går till URL:en).

  2. Gå till fliken Nätverk om du vill visa alla nätverksförfrågningar.

  3. Välj en förfrågan för en CSS fil i listan med förfrågningar.

    Kontrollera att det finns en rubrik med namnet x-cache i avsnittet Svarshuvuden i begäransinformationen. Den här sidhuvudet ser till att förfrågan betjänas via edge-servrar och kan cachelagras. Om värdet för x-cache är inställt på CONFIG_NOCACHE—värde eller något annat värde som innehåller termen NOCACHE—är installationen inte korrekt.

    Begär information som visar avsnittet Svarshuvuden som innehåller raden x-cache: TCP_HIT, som anger att regeln håller på att utvärderas korrekt.

  4. På samma sätt som i föregående steg markerar du en sidbegäran och kontrollerar sidhuvudena. Om x-cache är inställt CONFIG_NOCACHE fungerar installationen som den ska.

    Begär information som visar avsnittet Svarshuvuden som innehåller raden x-cache: CONFIG-NOCACHE, som anger att regeln håller på att utvärderas korrekt.

Konfigurera WAF-regler för att analysera inkommande förfrågningar

Nästa steg i installationen är att konfigurera WAF-reglerna för inkommande förfrågningar. I den här artikeln tar vi endast upp grundläggande steg. Om du vill ha en avancerad WAF-konfiguration går du till Azures brandvägg för webbprogram på Azure Front Door.

  1. I den vänstra rutan väljer du säkerhet.

    Säkerhetsskärm för konfiguration för Azure Front Door.

    Under snabbinstallationen har vi redan skapat en ny WAF-policy som visas här. Om du däremot hoppat över det steget kan du skapa en ny princip genom att välja Nytt.

  2. Välj namnet på WAF-policyn.

  3. Välj Policyinställningar och ange följande:

    1. Aktivera granskning av förfrågans brödtext: Markera den här kryssrutan om du vill att förfrågans brödtext ska kontrolleras samt cookies, huvuden och URL:er.

    2. Dirigera om URL – Ange icke-portal-URL. Den här URL-adressen är den plats där användaren omdirigeras om en WAF-regel har angetts för att omdirigera. Se till att URL:en är tillgänglig både offentlig och anonym.

    3. Blockera begärans statuskod: Den här HTTP-statuskoden returneras till användaren om förfrågan blockeras av WAF.

    4. Brödtext för blockera svar: Du kan lägga till ett anpassat meddelande här som visas för användaren om förfrågan blockeras av WAF.

    Principinställningar för WAF.

  4. Om du vill konfigurera den regel som varje begäran ska utvärderas mot gör du följande:

    1. På vänstra panelen väljer du Hanterade regler.

      Hanterade regler – regeluppsättning.

    2. Välj Tilldela i kommandofältet och välj sedan i listan med standardregeluppsättningar. Hanterade regeluppsättningar hanteras av Microsoft och uppdateras regelbundet. Mer information om regeluppsättningar finns i DRS-regelgrupper och regler för webbprogrambrandvägg.

      Hantera regeluppsättning – Tilldela.

När den hanterade regeluppsättningen har tilldelats är konfigurationen slutförd. Som ett extra steg kan du också titta på hur du skapar undantagslistor för befintliga regler och aktiverar anpassade regler.

Viktigt

WAF har som standard ställts in i läget Identifieringsregel, vilket identifierar problem för den definierade regeluppsättningen och loggar dem. I det här läget blockeras emellertid inte förfrågningarna. För att blockera förfrågningar måste WAF förhindras.

Vi rekommenderar att du utför noggranna tester i förebyggande läge för att kontrollera att alla scenarier fungerar och för att säkerställa att du inte behöver ändra regeluppsättningen eller lägga till uteslutningspolicyer. Du bör endast aktivera läget Förhindra när du har kontrollerat att hela installationen fungerar som förväntat.

Konfigurera Power Apps-portalen så att endast trafik accepteras från Azure Front Door.

Det sista steget i den här installationen är att se till att portalen endast accepterar trafik från Azure Front Door. För den här verifieringen måste vi aktivera begränsningar för IP-adresser på portalen.

Om du vill hitta det IP -adressintervall som Azure Front Door fungerar på går du till Hur låser jag åtkomsten till min backend till endast Azure Front Door?.

Anteckning

Power Apps portaler stöder inte X-Azure-FDID-baserad filtrering.

Öka svarstiden för ursprung

Som standard har Azure Front Door en tidsgräns för ursprungssvar på 60 sekunder. Vi rekommenderar dock att du ökar detta till 240 sekunder för att se till att scenarier som filöverföringar och export till Excel fungerar som förväntat.

  1. På vänstra panelen väljer du slutpunktsansvarig.

    Välj slutpunktsansvarig.

  2. Välj Redigera slutpunkter.

    Välj för att redigera slutpunkt.

  3. Välj Egenskaper för slutpunkt i det övre högra hörnet.

    Välj egenskaper för slutpunkt.

  4. Ändra ursprungssvarstiden till 240 sekunder och välj sedan Uppdatera.

    Ställ in slutpunkt svarstid på 240 sekunder.

Se även

Vad är Azure Front Door?
Snabbstart: Skapa en standard/premiumprofil för Front Door - Azure-portal
Skapa en anpassad domän på Azure Front Door Standard/Premium SKU (förhandsversion) med hjälp av Azure-portalen
Hur låser jag bara åtkomsten till min backend till Azure Front Door?
Azure Front Door regelmaskin, matchningsvillkor