Azure – Front Door (AFD)
前言
会研究到 Azure Front Door (AFD) 是因为想安装 WAF. 结果研究了一圈, 发现 AFD 好弱啊.
有许多功能都有 limitation.
Limitation & 不够好的地方
1. Not support web socket
另外 CDN 也是不支持 web socket.
Application Gateway 就支持. Cloudflare 也支持. 所以 AFD, ACDN 都很差..
2000 votes 排名第 3,
2. Root domain setup 很麻烦
参考: Onboard a root or apex domain on your Front Door
AFD 的 setup 方式是在 DNS point to AFD, 用的是 CNAME. 而 root domain 是 @ 无法配上 CNAME
只可以用 A point IP. 所以需要额外搞 ALIAS record, 我不清楚是不是只有 Azure DNS 才可以搞这些啦.
2.1 Root domain 要自己搞 certifiate
目前 managed certificate 不支持 , 需要自己弄 certificate 然后通过 Key Vault 链接到 AFD.
3. AFD Standard/Premium 还在 preview 中
参考: What is Azure Front Door Standard/Premium (Preview)?
虽然有 50% discount 但 not recommended for production, 谁还敢用丫.
4. Wildcard domains setup 很麻烦
参考: Wildcard domains
只能用 CLI 不能用 portal setup
只能自己做 certificate
基本架构概念
Front Door "前门", 顾名思义就是请求到达服务器之前的门口.
普通架构里, DNS 直接 point 去 VM. 这样的方式不安全. IP 直接公开, 而且只能对一台服务器.
DNS > AFD > VMs pool 这样的架构就好多了, 可以做很多事情, 缓存啦, WAF 啦, load balance 啦. 而且对外也隐藏了服务器的 IP.
Azure 有很多种类似的服务. 每个都针对不太一样的场景, 但又非常类似.
Application Gateway focus load balance
CDN focus static files
AFD focus Web, API, Compute
所以最终 AFD 推出了 Standard/Premium 版本, 综合了大家的服务. (但目前任在 preview 当中... 又 preview ?!)
AFD Classic Step by Step
由于 Standard/Premium 还在 preview 而且也贵, 先介绍原始版本吧.
Setup VM DNS Name
CDN > AFD > VM,
首先 AFD > VM 最好不要直接使用 IP, 因为用 IP 就做不了 TLS (SSL).
所以先让 VM 有一个 domain name (用 Azure 的就可以了)
参考: Create a fully qualified domain name for a VM in the Azure portal
进入 VM > Properties > DNS name label
我这张图是已经做好的, 本来应该是 none, 点击进入然后取一个名字
这样就可以了.
Create AFD
搜索 front door service
点击创建, (它属于 Load balancing 的一种)
选好 Resource Group
进入关键的地方了
Frontends/domains 是从 DNS point 进来的入口.
Session Affinity 是指是否让用户固定用一个 VM, 如果我们的服务是无状态的那么就可以不开, 但如果是有需要维护 session 之类的, 那么最好是让用户固定使用一台 VM.
WAF 可以之后才加进去.
Backend pools 是我们的 VMs
可以放多个 VMs, 它会挑选比较不忙的去 serve request.
点击 Add a backend
选择 custom host, 然后把我们上一个环节做的 VM DNS name 放进去. 这里需要注意一点.
一般上一个 VM 只服务一个 Web App. 所以端口用 80, 443 就可以了. 但是如果我们的 VM 是 serve multiple web apps 的话.
那么这里就需要分不同的端口了.
IIS 的 setup, 当 AFD > VM 的时候就是这样访问的
注: 81, 444 需要去 Azure portal 添加 Inbound port rules, 也需要在 VM 里面开启 firewall advanced 添加 inbound port 哦
其余的默认就可以了
Routing ruls 是它们 2 个之间的 mapping
取个名字, 上半部分是选 frontends/domains
下半部分是选 backend pool
第一轮的 setup frontend 是 azure 的 sub domain 比如: test-front-door.azurefd.net
需要在添加多一个 frontend for custom domain
这时会看到多了一个 Custom host name 和 TLS
把 Frontend host name copy 去 DNS Custom domain 的 CNAME (上面有说了 root domain 的话需要更麻烦的 setup, 这里说的都是 sub domain)
然后开启 TLS. Azure 会自动去申请 certificate (sub domain only). 这个过程可能需要 20 分钟
然后在重复 setup backend 和 route 就可以了.
最后大概长这样
About TLS
End-to-end TLS with Azure Front Door
最好是全程使用 TLS.
CDN > AFD 使用 Azure managed certificate
AFD > VM, 需要 VM 申请 VM DNS Name (azure 的 sub domain, e.g. test-front-door-vm.southeastasia.cloudapp.azure.com) 的 certificate, 通常是用 Let's Encrypt.
重点 highlight
如果熟悉它的原理, setup 并不算难, 我自己卡很久都是因为基础不太好.
这里总结一下.
在 DNS 做一个 custom sub domain 通过 CNAME point to AFD frontend (test-front-door.azurefd.net)
这样用户访问就会进入到 AFD 了.
下一步是 front door 去 VM. 这里可以用 VM 的 IP, 但是这样就没有 TLS, 所以最好用 VM 的 DNS name (test-front-door-vm.southeastasia.cloudapp.azure.com)
配上不同 port 就可以实现 VM multiple web app. (记得要 set Azure portal 和 VM firewall 的 inbounce rule)
最后是 mapping, 这个没有什么特别要注意的.
总结
感觉它还有很多不方便的地方,学习资源也不多. 不推荐使用. 我只是把目前做到的研究记入一下而已.
可以考虑 Cloudflare 作为替代.
Azure – Front Door (AFD)的更多相关文章
- Azure Front Door(一)为基于.net core 开发的Azure App Service 提供流量转发
一,引言 之前我们讲解到使用 Azure Traffic Manager.Azure LoadBalancer.Azure Application Gateway,作为项目的负载均衡器来分发流量,转发 ...
- Azure Front Door(二)对后端 VM 进行负载均衡
一,引言 上一篇我们讲到通过 Azure Front Door 为我们的 Azure App Service 提供流量转发,而整个 Azure Front Door 在添加后端池的时候可选的后端类型是 ...
- Azure Front Door(三)启用 Web Application Firewall (WAF) 保护Web 应用程序,拒绝恶意攻击
一,引言 上一篇我们利用 Azure Front Door 为后端 VM 部署提供流量的负载均衡.因为是演示实例,也没有实际的后端实例代码,只有一个 "Index.html" 的静 ...
- Azure产品目录
计算 Linux 虚拟机:为 Ubuntu.Red Hat 等预配虚拟机 Windows 虚拟机 为 SQL Server.SharePoint 等预配虚拟机 应用服务 快速创建适用于 Web 和移动 ...
- Azure产品整理
Azure的文档真是够落地,简明易懂. 计算 Linux 虚拟机:为 Ubuntu.Red Hat 等预配虚拟机 Windows 虚拟机 为 SQL Server.SharePoint 等预配虚拟机 ...
- 如何正确的探索 Microsoft Ignite The Tour
Microsoft Ignite The Tour 是一年一度微软为全球开发者.IT专家.安全专家以及数据专家提供的为期两天,包含众多核心产品的实践性技术培训.2019.12.10-2019.12.1 ...
- 在公有云AZURE上部署私有云AZUREPACK以及WEBSITE CLOUD(二)
前言 (二)建立虚拟网络环境,以及域控和DNS服务器 1搭建虚拟网络环境 在Azure上创建虚拟网络.本例选择的是东南亚数据中心.后面在创建虚机的时候,也选择这个数据中心. VNet Name: ...
- UNDER THE HOOD OF THE NEW AZURE PORTAL
http://jbeckwith.com/2014/09/20/how-the-azure-portal-works/ So - I haven’t been doing much blogging ...
- Windows Azure 云服务角色架构
当我们使用VS发布一个Cloud Service或者在Portal上上传发布包后,就能启动和运行一个云服务,可以保护WebRole,WorkerRole的一个或者多个实例. Windows Azure ...
- Windows Azure 上传 VM
One of the great features of Windows Azure is VHD mobility. Simply put it means you can upload and d ...
随机推荐
- canvas绘制飞线效果
在我们做的可视化大屏项目中,经常会遇到飞线的效果. 在我们的大屏编辑器中,可以通过拖拽+配置参数的方式很快就能够实现.下面是我们使用大屏编辑器实现的一个项目效果: 中间地图就有飞线的效果. 抛开编辑器 ...
- 全网最适合入门的面向对象编程教程:18 类和对象的 Python 实现-多重继承与 PyQtGraph 串口数据绘制曲线图
全网最适合入门的面向对象编程教程:18 类和对象的 Python 实现-多重继承与 PyQtGraph 串口数据绘制曲线图 摘要: 本文主要介绍了 Python 中创建自定义类时如何使用多重继承.菱形 ...
- C# 使用模式匹配的好处,因为好用所以推荐~
类型检查和转换:当你需要检查对象是否为特定类型,并且希望在同一时间内将其转换为那个类型时,模式匹配提供了一种更简洁的方式来完成这一任务,避免了使用传统的as和is操作符后还需要进行额外的null检查. ...
- [rCore学习笔记 014]批处理系统
写在前面 本随笔是非常菜的菜鸡写的.如有问题请及时提出. 可以联系:1160712160@qq.com GitHhub:https://github.com/WindDevil (目前啥也没有 本章目 ...
- 字符—字符与整数的关系&&常用的库函数_C
// Code file created by C Code Develop #include "ccd.h" #include "stdio.h" #incl ...
- 辅助分类器生成对抗网络( Auxiliary Classifier Generative Adversarial Network,ACGAN)(附带pytorch代码)
1 ACGAN基本原理 1.2 ACGAN模型解释 ACGAN相对于CGAN使的判别器不仅可以判别真假,也可以判别类别 .通过对生成数据类别的判断,判别器可以更好地传递loss函数使得生成器能够更加准 ...
- Jmeter函数助手9-char
char函数用于将数字转换为unicode字符. Unicode 字符数(十进制或0xhex):必填,填入数字 1.如果把各种文字编码形容为各地的方言,那么unicode统一码就是世界各国合作开发的一 ...
- javaDoc生成方式
命令行生成 在cmd控制台窗口上找到需要生成文件的路径,然后执行命令. # javadoc -encoding UTF-8 -charset UTF-8 文件名 javadoc -encoding U ...
- 【SpringMVC】12 文件上传和下载
编写一个请求上传和下载的JSP页面 <%@ page contentType="text/html;charset=UTF-8" language="java&qu ...
- 【MySQL】30 备份与恢复
1.备份命令: mysqldump -u用户名 -p 密码 -h 服务主机IP -P 端口号 \ 数据库名称 \ > 指定备份的sql脚本文件位置 ↓ # 文件位置样例: # C:\Users\ ...