Azure – Front Door (AFD)
前言
会研究到 Azure Front Door (AFD) 是因为想安装 WAF. 结果研究了一圈, 发现 AFD 好弱啊.
有许多功能都有 limitation.
Limitation & 不够好的地方
1. Not support web socket
另外 CDN 也是不支持 web socket.
Application Gateway 就支持. Cloudflare 也支持. 所以 AFD, ACDN 都很差..
2000 votes 排名第 3,
2. Root domain setup 很麻烦
参考: Onboard a root or apex domain on your Front Door
AFD 的 setup 方式是在 DNS point to AFD, 用的是 CNAME. 而 root domain 是 @ 无法配上 CNAME
只可以用 A point IP. 所以需要额外搞 ALIAS record, 我不清楚是不是只有 Azure DNS 才可以搞这些啦.
2.1 Root domain 要自己搞 certifiate
目前 managed certificate 不支持 , 需要自己弄 certificate 然后通过 Key Vault 链接到 AFD.
3. AFD Standard/Premium 还在 preview 中
参考: What is Azure Front Door Standard/Premium (Preview)?
虽然有 50% discount 但 not recommended for production, 谁还敢用丫.
4. Wildcard domains setup 很麻烦
参考: Wildcard domains
只能用 CLI 不能用 portal setup
只能自己做 certificate
基本架构概念
Front Door "前门", 顾名思义就是请求到达服务器之前的门口.
普通架构里, DNS 直接 point 去 VM. 这样的方式不安全. IP 直接公开, 而且只能对一台服务器.
DNS > AFD > VMs pool 这样的架构就好多了, 可以做很多事情, 缓存啦, WAF 啦, load balance 啦. 而且对外也隐藏了服务器的 IP.
Azure 有很多种类似的服务. 每个都针对不太一样的场景, 但又非常类似.
Application Gateway focus load balance
CDN focus static files
AFD focus Web, API, Compute
所以最终 AFD 推出了 Standard/Premium 版本, 综合了大家的服务. (但目前任在 preview 当中... 又 preview ?!)
AFD Classic Step by Step
由于 Standard/Premium 还在 preview 而且也贵, 先介绍原始版本吧.
Setup VM DNS Name
CDN > AFD > VM,
首先 AFD > VM 最好不要直接使用 IP, 因为用 IP 就做不了 TLS (SSL).
所以先让 VM 有一个 domain name (用 Azure 的就可以了)
参考: Create a fully qualified domain name for a VM in the Azure portal
进入 VM > Properties > DNS name label
我这张图是已经做好的, 本来应该是 none, 点击进入然后取一个名字
这样就可以了.
Create AFD
搜索 front door service
点击创建, (它属于 Load balancing 的一种)
选好 Resource Group
进入关键的地方了
Frontends/domains 是从 DNS point 进来的入口.
Session Affinity 是指是否让用户固定用一个 VM, 如果我们的服务是无状态的那么就可以不开, 但如果是有需要维护 session 之类的, 那么最好是让用户固定使用一台 VM.
WAF 可以之后才加进去.
Backend pools 是我们的 VMs
可以放多个 VMs, 它会挑选比较不忙的去 serve request.
点击 Add a backend
选择 custom host, 然后把我们上一个环节做的 VM DNS name 放进去. 这里需要注意一点.
一般上一个 VM 只服务一个 Web App. 所以端口用 80, 443 就可以了. 但是如果我们的 VM 是 serve multiple web apps 的话.
那么这里就需要分不同的端口了.
IIS 的 setup, 当 AFD > VM 的时候就是这样访问的
注: 81, 444 需要去 Azure portal 添加 Inbound port rules, 也需要在 VM 里面开启 firewall advanced 添加 inbound port 哦
其余的默认就可以了
Routing ruls 是它们 2 个之间的 mapping
取个名字, 上半部分是选 frontends/domains
下半部分是选 backend pool
第一轮的 setup frontend 是 azure 的 sub domain 比如: test-front-door.azurefd.net
需要在添加多一个 frontend for custom domain
这时会看到多了一个 Custom host name 和 TLS
把 Frontend host name copy 去 DNS Custom domain 的 CNAME (上面有说了 root domain 的话需要更麻烦的 setup, 这里说的都是 sub domain)
然后开启 TLS. Azure 会自动去申请 certificate (sub domain only). 这个过程可能需要 20 分钟
然后在重复 setup backend 和 route 就可以了.
最后大概长这样
About TLS
End-to-end TLS with Azure Front Door
最好是全程使用 TLS.
CDN > AFD 使用 Azure managed certificate
AFD > VM, 需要 VM 申请 VM DNS Name (azure 的 sub domain, e.g. test-front-door-vm.southeastasia.cloudapp.azure.com) 的 certificate, 通常是用 Let's Encrypt.
重点 highlight
如果熟悉它的原理, setup 并不算难, 我自己卡很久都是因为基础不太好.
这里总结一下.
在 DNS 做一个 custom sub domain 通过 CNAME point to AFD frontend (test-front-door.azurefd.net)
这样用户访问就会进入到 AFD 了.
下一步是 front door 去 VM. 这里可以用 VM 的 IP, 但是这样就没有 TLS, 所以最好用 VM 的 DNS name (test-front-door-vm.southeastasia.cloudapp.azure.com)
配上不同 port 就可以实现 VM multiple web app. (记得要 set Azure portal 和 VM firewall 的 inbounce rule)
最后是 mapping, 这个没有什么特别要注意的.
总结
感觉它还有很多不方便的地方,学习资源也不多. 不推荐使用. 我只是把目前做到的研究记入一下而已.
可以考虑 Cloudflare 作为替代.
Azure – Front Door (AFD)的更多相关文章
- Azure Front Door(一)为基于.net core 开发的Azure App Service 提供流量转发
一,引言 之前我们讲解到使用 Azure Traffic Manager.Azure LoadBalancer.Azure Application Gateway,作为项目的负载均衡器来分发流量,转发 ...
- Azure Front Door(二)对后端 VM 进行负载均衡
一,引言 上一篇我们讲到通过 Azure Front Door 为我们的 Azure App Service 提供流量转发,而整个 Azure Front Door 在添加后端池的时候可选的后端类型是 ...
- Azure Front Door(三)启用 Web Application Firewall (WAF) 保护Web 应用程序,拒绝恶意攻击
一,引言 上一篇我们利用 Azure Front Door 为后端 VM 部署提供流量的负载均衡.因为是演示实例,也没有实际的后端实例代码,只有一个 "Index.html" 的静 ...
- Azure产品目录
计算 Linux 虚拟机:为 Ubuntu.Red Hat 等预配虚拟机 Windows 虚拟机 为 SQL Server.SharePoint 等预配虚拟机 应用服务 快速创建适用于 Web 和移动 ...
- Azure产品整理
Azure的文档真是够落地,简明易懂. 计算 Linux 虚拟机:为 Ubuntu.Red Hat 等预配虚拟机 Windows 虚拟机 为 SQL Server.SharePoint 等预配虚拟机 ...
- 如何正确的探索 Microsoft Ignite The Tour
Microsoft Ignite The Tour 是一年一度微软为全球开发者.IT专家.安全专家以及数据专家提供的为期两天,包含众多核心产品的实践性技术培训.2019.12.10-2019.12.1 ...
- 在公有云AZURE上部署私有云AZUREPACK以及WEBSITE CLOUD(二)
前言 (二)建立虚拟网络环境,以及域控和DNS服务器 1搭建虚拟网络环境 在Azure上创建虚拟网络.本例选择的是东南亚数据中心.后面在创建虚机的时候,也选择这个数据中心. VNet Name: ...
- UNDER THE HOOD OF THE NEW AZURE PORTAL
http://jbeckwith.com/2014/09/20/how-the-azure-portal-works/ So - I haven’t been doing much blogging ...
- Windows Azure 云服务角色架构
当我们使用VS发布一个Cloud Service或者在Portal上上传发布包后,就能启动和运行一个云服务,可以保护WebRole,WorkerRole的一个或者多个实例. Windows Azure ...
- Windows Azure 上传 VM
One of the great features of Windows Azure is VHD mobility. Simply put it means you can upload and d ...
随机推荐
- Swift开发基础06-闭包
Swift的闭包(Closures)是一种将功能块和上下文整合并演示在代码中的一种手段.闭包可以捕获并存储其上下文中的变量和常量.与普遍存在于其他语言的匿名函数(如Python的lambda.Java ...
- 入门深度学习和TensorFlow
入门深度学习和TensorFlow时,首先要确保掌握必要的先导知识,然后逐步通过理论和实践相结合的方式深入学习.以下是一个具体的引导例子以及后续的学习计划. 入门深度学习和TensorFlow 1. ...
- UE中返回值为数组的时候,无法传递Reference的问题
我如果要修改一个类或者结构体的成员变量, 那么我需要通过函数返回 也就是说Struct目前不能传递引用,只能传递备份
- 阅读翻译Mathematics for Machine Learning之2.8 Affine Subspaces
阅读翻译Mathematics for Machine Learning之2.8 Affine Subspaces 关于: 首次发表日期:2024-07-24 Mathematics for Mach ...
- java的自动拆箱会发生NPE
平时的小细节,总能在关键时刻酿成线上事故,最近在代码中使用了Integer的自动拆箱功能,结果NPE(NullPointException)了,悲剧啊... 一.何为自动拆箱 要说自动拆箱,就必须说自 ...
- Python学习的个人笔记
python基础知识 目录: Python基础语法: (1)打印出hello world (2)注释 (3)数据类型 (4)运算 (5)输入 (6)输出 (7)序列 (8)相等比较 (9)选择 (10 ...
- 一个域名可以对应多个IP吗,一个IP可以对应多个域名吗?
本文谈两个问题:一个域名可以对应多个IP吗,一个IP可以对应多个域名吗? 问题1:一个IP可以对应多个域名吗? 因为域名都是由各个域名供应商提供的,我们可以在不同的域名供应商那里买不同的域名,然后把这 ...
- vue&element项目实战 之api模块化与公共字典
4.api模块化配置 步骤一:编写字典api即dic.js import request from '@/utils/request' // 查询字典列表 export const getDicLis ...
- 面试官:说说volatile应用和实现原理?
volatile 是并发编程中的重要关键字,它的名气甚至是可以与 synchronized.ReentrantLock 等齐名,也是属于并发编程五杰之一. 需要注意的是 volatile 并不能保证原 ...
- NCP1207A笔记
uc3844d8 NCP1207A实现一个标准的电流模式结构,关断时间由峰值电流设置决定:铁芯复位检测则触发开启事件. 变压器铁芯检测:无论什么操作都会保证临界操作.因此,几乎没有一次开关接通损耗和二 ...