Share via

Azure front door'Depolama blobları ile kullanma

  • Makale

Azure Front Door, Azure Depolama bloblarından statik içerik teslimini hızlandırır ve güvenli ve ölçeklenebilir bir mimari sağlar. Statik içerik teslimi, web sitesi barındırma ve dosya teslimi dahil olmak üzere birçok farklı kullanım örneği için kullanışlıdır.

Mimari

Diagram of Azure Front Door with a blob storage origin.

Bu başvuru mimarisinde, tek çıkış noktası olan bir depolama hesabı ve Front Door profili dağıtacaksınız.

Veri akışı

Veriler senaryo boyunca aşağıdaki gibi akar:

  1. İstemci, özel bir etki alanı adı ve Front Door tarafından sağlanan TLS sertifikası kullanarak Azure Front Door'a güvenli bir bağlantı kurar. İstemcinin bağlantısı yakındaki bir Front Door iletişim noktasında (PoP) sonlanır.
  2. Front Door web uygulaması güvenlik duvarı (WAF) isteği tarar. WAF isteğin risk düzeyinin çok yüksek olduğunu belirlerse isteği engeller ve Front Door bir HTTP 403 hata yanıtı döndürür.
  3. Front Door PoP önbelleği bu istek için geçerli bir yanıt içeriyorsa, Front Door yanıtı hemen döndürür.
  4. Aksi takdirde PoP, microsoft'un omurga ağını kullanarak isteği dünyanın neresinde olursa olsun kaynak depolama hesabına gönderir. PoP, ayrı, uzun ömürlü bir TCP bağlantısı kullanarak depolama hesabına bağlanır. Bu senaryoda depolama hesabına güvenli bir şekilde bağlanmak için Özel Bağlantı kullanılır.
  5. Depolama hesabı Front Door PoP'a bir yanıt gönderir.
  6. PoP yanıtı aldığında, sonraki istekler için önbelleğinde depolar.
  7. PoP, istemciye yanıtı döndürür.
  8. İnternet üzerinden doğrudan depolama hesabına yapılan tüm istekler Azure Depolama güvenlik duvarı tarafından engellenir.

Bileşenler

  • Azure Depolama statik içeriği bloblarda depolar.
  • Azure Front Door istemcilerden gelen bağlantıları alır, WAF ile tarar, isteği güvenli bir şekilde depolama hesabına iletir ve yanıtları önbelleğe alır.

Alternatifler

Başka bir bulut depolama sağlayıcısında statik dosyalarınız varsa veya sahip olduğunuz ve bakımını yaptığınız altyapıda statik içerik barındırıyorsanız, bu senaryonun çoğu uygulanmaya devam eder. Ancak Front Door üzerinden geldiğini doğrulamak için kaynak sunucunuza gelen trafiği nasıl koruduğunuzu düşünmeniz gerekir. Depolama sağlayıcınız Özel Bağlantı desteklemiyorsa, Front Door hizmet etiketini izin verilenler listesine ekleme ve üst bilgiyi inceleme X-Azure-FDID gibi alternatif bir yaklaşım kullanmayı göz önünde bulundurun.

Senaryo ayrıntıları

Statik içerik teslimi, aşağıdaki örnekler gibi birçok durumda kullanışlıdır:

  • Web uygulaması için görüntüleri, CSS dosyalarını ve JavaScript dosyalarını teslim etme.
  • PDF dosyaları veya JSON dosyaları gibi dosyaları ve belgeleri sunma.
  • Akışsız video teslim etme.

Doğası gereği statik içerik sık sık değişmez. Statik dosyaların boyutu da büyük olabilir. Bu özellikler, önbelleğe alınmak için iyi bir aday olmasını sağlar ve bu da performansı artırır ve isteklere hizmet verme maliyetini azaltır.

Karmaşık bir senaryoda, tek bir Front Door profili statik içeriğe ve dinamik içeriğe hizmet edebilir. Her kaynak türü için ayrı kaynak grupları kullanabilir ve gelen istekleri doğru çıkış noktasıyla yönlendirmek için Front Door'un yönlendirme özelliklerini kullanabilirsiniz.

Dikkat edilmesi gereken noktalar

Ölçeklenebilirlik ve performans

İçerik teslim ağı (CDN) olarak Front Door içeriği genel olarak dağıtılmış POP ağında önbelleğe alır. Yanıtın önbelleğe alınmış bir kopyası pop'ta kullanılabilir olduğunda, Front Door önbelleğe alınmış yanıtla hızlı bir şekilde yanıt verebilir. Önbellekten içerik döndürülmesi çözümün performansını artırır ve kaynak üzerindeki yükü azaltır. PoP'un önbelleğe alınmış geçerli bir yanıtı yoksa Front Door'un trafik hızlandırma özellikleri, içeriği kaynaktan sunma süresini kısaltır.

Güvenlik

Kimlik Doğrulaması

Front Door İnternet'e yönelik olacak şekilde tasarlanmıştır ve bu senaryo genel kullanıma açık bloblar için iyileştirilmiştir. Bloblara erişimin kimliğini doğrulamanız gerekiyorsa, paylaşılan erişim imzalarını kullanmayı göz önünde bulundurun ve Front Door'un kimliği doğrulanmamış istemcilere istek sunmasını önlemek için Sorgu Dizesini Kullan sorgu dizesi davranışını etkinleştirdiğinizden emin olun. Ancak, farklı bir paylaşılan erişim imzasına sahip her isteğin çıkış noktası ayrı olarak gönderilmesi gerektiğinden, bu yaklaşım Front Door önbelleğini etkili bir şekilde kullanmayabilir.

Kaynak güvenliği

Front Door, Özel Bağlantı kullanarak Azure Depolama hesabına güvenli bir şekilde bağlanır. Depolama hesabı, İnternet'ten doğrudan erişimi reddedecek ve yalnızca Front Door tarafından kullanılan özel uç nokta bağlantısı üzerinden isteklere izin verecek şekilde yapılandırılmıştır. Bu yapılandırma, her isteğin Front Door tarafından işlenmesini sağlar ve depolama hesabınızın içeriğinin doğrudan İnternet'e açıklanmasını önler. Ancak bu yapılandırma, Azure Front Door'un premium katmanını gerektirir. Standart katmanı kullanıyorsanız depolama hesabınızın herkese açık olması gerekir. Depolama hesabına yönelik isteklerin güvenliğini sağlamak için paylaşılan erişim imzası kullanabilir ve istemcinin tüm isteklerine imzayı eklemesini sağlayabilir veya Front Door'dan eklemek için Front Door kural altyapısını kullanabilirsiniz.

Özel etki alanı adları

Front Door özel etki alanı adlarını destekler ve bu etki alanları için TLS sertifikaları verebilir ve yönetebilir. Özel etki alanlarını kullanarak, istemcilerinizin güvenilen ve tanıdık bir etki alanı adından dosya aldığından ve TLS'nin Front Door'a yapılan her bağlantıyı şifrelediğinden emin olabilirsiniz. Front Door TLS sertifikalarınızı yönetirken, geçersiz veya güncel olmayan TLS sertifikalarından kaynaklanan kesintileri ve güvenlik sorunlarını önlersiniz.

Azure Depolama özel etki alanı adlarını da destekler, ancak özel etki alanı kullanırken HTTPS'yi desteklemez. Front Door, depolama hesabıyla özel etki alanı adı kullanmak için en iyi yaklaşımdır.

Web uygulaması güvenlik duvarı

Front Door WAF'nin yönetilen kuralı, yaygın ve yeni ortaya çıkan güvenlik tehditleri için tarama isteklerini ayarlar. Hem statik hem de dinamik uygulamalar için WAF ve yönetilen kuralları kullanmanızı öneririz.

Ayrıca, bu özelliklere ihtiyacınız varsa hız sınırlama ve coğrafi filtreleme gerçekleştirmek için Front Door WAF'yi de kullanabilirsiniz.

Dayanıklılık

Front Door yüksek oranda kullanılabilir bir hizmettir ve genel olarak dağıtılmış mimarisi nedeniyle tek Azure bölgelerinin ve POP'lerinin hatalarına dayanıklıdır.

Front Door önbelleğini kullanarak depolama hesabınızdaki yükü azaltırsınız. Ayrıca, depolama hesabınız kullanılamıyorsa, uygulamanız kurtarılana kadar Front Door önbelleğe alınmış yanıtlar sunma işlemine devam edebilir.

Depolama hesabının dayanıklılığını göz önünde bulundurarak genel çözümün dayanıklılığını daha da geliştirebilirsiniz. Daha fazla bilgi için bkz. Azure Depolama yedekliliği. Alternatif olarak, birden çok depolama hesabı dağıtabilir ve Front Door kaynak grubunuzda birden çok çıkış noktası yapılandırabilir ve her kaynağın önceliğini yapılandırarak çıkış noktaları arasında yük devretmeyi yapılandırabilirsiniz. Daha fazla bilgi için bkz . Azure Front Door'ta çıkış noktaları ve kaynak grupları.

Maliyet iyileştirme

Önbelleğe Alma statik içerik sunma maliyetini azaltmaya yardımcı olabilir. Front Door'un PoP'leri yanıtların kopyalarını depolar ve sonraki istekler için bu önbelleğe alınmış yanıtları teslim edebilir. Önbelleğe Alma kaynak üzerindeki istek yükünü azaltır. Yüksek ölçekli statik içerik tabanlı çözümlerde, özellikle de büyük dosyalar sunanlarda önbelleğe alma, trafik maliyetlerini önemli ölçüde azaltabilir.

Bu çözümde Özel Bağlantı kullanmak için Front Door'un premium katmanını dağıtmanız gerekir. Doğrudan depolama hesabınıza giden trafiği engellemeniz gerekmiyorsa standart katmanı kullanabilirsiniz. Daha fazla bilgi için bkz . Kaynak güvenliği.

Bu senaryoyu dağıtın

Bu senaryoya Bicep veya JSON ARM şablonlarını kullanarak dağıtmak için bu hızlı başlangıca bakın.

Terraform kullanarak bu senaryoya dağıtmak için bu hızlı başlangıca bakın.

Sonraki adımlar

Front Door profili oluşturmayı öğrenin.