Exercício - Criar e configurar o Front Door

  • 20 minutos

O Front Door escuta em um ponto de extremidade e faz a correspondência entre as solicitações recebidas e uma rota. Em seguida, encaminha esses pedidos para a melhor origem disponível. A configuração de roteamento definida determina como o Front Door processa uma solicitação na borda antes que ela seja encaminhada para a origem.

As informações processadas na borda incluem:

  • Protocolos que a rota aceita.
  • Caminhos a combinar.
  • Redirecionamento de tráfego para HTTPS.
  • Determinar o grupo de origem que atende à solicitação.
  • Definição do protocolo usado para encaminhar a solicitação.
  • Usando o cache, se ele estiver habilitado.
  • Usando conjuntos de regras para processar uma solicitação antes de encaminhá-la para a origem.

No sistema do departamento de veículos motorizados, você precisa configurar o Front Door para acessar os servidores web que hospedam o aplicativo de registro de veículos de forma privada usando o Private Link. Você também precisa configurar o Front Door para acessar o serviço de aplicativo que hospeda o site de renovação de licença usando o Private Link. O perfil da Porta da Frente do Azure tem um ponto de extremidade com duas rotas, cada uma configurada para rotear o tráfego para o site correto. Por fim, você configura uma política de segurança que contém uma política WAF para proteger seus aplicativos Web contra ataques mal-intencionados e intrusos.

Este exercício orienta você na criação de um perfil Front Door, na configuração de origens em um grupo de origem, na configuração de rotas e na aplicação de uma política de segurança. Em seguida, você testa cada rota para verificar se a Front Door está lidando com cada solicitação corretamente.

Criar uma porta de entrada do Azure

Nesta unidade, você cria uma porta frontal nomeada vehicleFrontDoor com a seguinte configuração:

  • Dois grupos de origem. O primeiro grupo de origem contém o IP do ponto de extremidade de serviço das máquinas virtuais dos servidores Web. O segundo grupo de origem contém o Serviço de aplicativo. Você também habilita o acesso de link privado a essas origens.
  • Aprovar conexões de ponto de extremidade privadas para os servidores Web e o Serviço de aplicativo.
  • Crie um ponto de extremidade no perfil Front Door com duas rotas configuradas para direcionar solicitações para um site de registro de veículo e um site de renovação de licença.
  • Uma política de segurança que contém uma política WAF para bloquear solicitações maliciosas.

  1. Crie o perfil do Azure Front Door com o seguinte comando:

    az afd profile create \
    --profile-name vehicleFrontDoor \
    --resource-group $RG \
    --sku Premium_AzureFrontDoor

  2. Crie o primeiro ponto de extremidade dentro do perfil com o seguinte comando:

    endpoint="vehicle-$RANDOM"
az afd endpoint create \
    --endpoint-name $endpoint \
    --profile-name vehicleFrontDoor \
    --resource-group $RG

Criar grupos de origem e adicionar origens

  1. Entre no portal do Azure para concluir a configuração do perfil Front Door. Certifique-se de que utiliza a mesma conta que utilizou para ativar o sandbox.

  2. Vá para o vehicleFrontDoor perfil Front Door que você criou e selecione Origin Groups em Configurações no painel de menu esquerdo.

    Screenshot of origin groups settings for vehicleFrontDoor profile.

  3. Selecione + Adicionar para criar o primeiro grupo de origem. Para o nome, digite webServers. Em seguida, selecione + Adicionar uma origem. Insira ou selecione as seguintes informações para adicionar a origem do servidor web:

    Screenshot of adding a web server origin setting in an origin group.

    Definições valor
    Nome Insira webServerEndpoint.
    Tipo de origem Selecione Personalizado.
    Nome do anfitrião Digite 10.0.1.8
    Cabeçalho de anfitrião de origem Este campo é o mesmo que o nome do host para este exemplo.
    Validação do nome do assunto do certificado Deixe como verificado. Necessário para o serviço de link privado.
    Porta HTTP Não altere a predefinição. 80.
    Porta HTTPS Não altere a predefinição. 443.
    Prioridade Não altere a predefinição. 1.
    Espessura Não altere a predefinição. 1000.
    Ligação privada Marque a caixa de seleção Ativar serviço de link privado.
    Selecione um link privado Selecione No meu diretório.
    Resource Selecione myPrivateLinkService.
    País/Região A região é selecionada quando você seleciona o recurso.
    Solicitar mensagem Digite a conexão privada do webServer.
    Status Habilite essa origem.

  4. Selecione Adicionar para adicionar a origem ao grupo de origem. Deixe o restante das configurações do grupo de origem como padrão. Em seguida, selecione Adicionar para criar o grupo de origem.

    Screenshot of a web server origin added to an origin group.

  5. Selecione + Adicionar novamente para criar o segundo grupo de origem. Para o nome, digite appService. Em seguida, selecione + Adicionar uma origem. Introduza ou selecione as seguintes informações.

    Screenshot of adding an App service origin setting in an origin group.

    Definições valor
    Nome Digite appService.
    Tipo de origem Selecione Serviços de aplicativo.
    Nome do anfitrião Selecione o site do Azure no menu suspenso que começa com licenserenewal.
    Cabeçalho de anfitrião de origem Este campo é o mesmo que o nome do host para este exemplo.
    Validação do nome do assunto do certificado Deixe como verificado. Necessário para o serviço de link privado.
    Porta HTTP Não altere a predefinição. 80.
    Porta HTTPS Não altere a predefinição. 443.
    Prioridade Não altere a predefinição. 1.
    Espessura Não altere a predefinição. 1000.
    Ligação privada Não altere a predefinição.
    Status Habilite essa origem.

  6. Selecione Adicionar para adicionar a origem ao grupo de origem. Deixe o restante das configurações do grupo de origem como padrão. Em seguida, selecione Adicionar para criar o segundo grupo de origem.

    Screenshot of an app service origin added to an origin group.

Aprovar conexões de ponto de extremidade privado

  1. Depois de habilitar o serviço de link privado para os recursos de origem, você precisará aprovar a solicitação de conexão de ponto final privado antes que a conexão privada possa ser estabelecida. Para aprovar a conectividade para os servidores Web, localize o recurso de serviço de link privado criado em uma unidade anterior chamada myPrivateLinkService. Selecione Conexões de ponto de extremidade privado em Configurações no painel de menu do lado esquerdo.

  2. Selecione a conexão pendente com a descrição da conexão privada do webServer e selecione Aprovar. Em seguida, selecione Sim para confirmar a aprovação e estabelecer a conexão.

    Screenshot of private endpoint connection approval list for web servers.

  3. Não é necessário aprovar o ponto de extremidade privado para o Serviço de Aplicativo, pois a conectividade é pela Internet pública.

Adicionar rotas

Aqui você adiciona duas rotas para direcionar o tráfego para o site de registro de veículos e o site de renovação de licença.

  1. Vá para o gerenciador de portas dianteiras para o perfil do veículoFrontDoor. Selecione + Adicionar uma rota do ponto de extremidade criado na etapa 2.

    Screenshot of add a route button from Front Door manager.

  2. Selecione ou introduza as seguintes informações e, em seguida, selecione Adicionar para criar a primeira rota para o Web site de registo de veículos.

    Screenshot of vehicle registration route settings.

    Definições valor
    Nome Introduzir VeículoRegisto
    Rota ativada Deixe como verificado.
    Domínios Selecione o único domínio disponível no menu suspenso.
    Padrões para correspondência Digite /VehicleRegistration, /VehicleRegistration/* e /* para caminhos a serem correspondidos.
    Protocolos aceites Selecione HTTP e HTTPS no menu suspenso.
    Redirecionamento Desmarque Redirecionar todo o tráfego para usar HTTPS
    Grupo de origem Selecione webServers no menu suspenso.
    Caminho de origem Deixe em branco.
    Protocolo de reencaminhamento Selecione Somente HTTP.
    Colocação em cache Marque a caixa de seleção para habilitar o cache.
    Comportamento da colocação em cache de cadeias de consulta Selecione Ignorar cadeia de caracteres de consulta no menu suspenso.

  3. Selecione + Adicionar uma rota novamente para criar uma rota para o site de renovação de licença. Selecione ou insira as seguintes informações e, em seguida, selecione Adicionar para criar a segunda rota.

    Screenshot of license renewal route settings.

    Definições valor
    Nome Inserir LicençaRenovação
    Rota ativada Deixe como verificado.
    Domínios Selecione o único domínio disponível no menu suspenso.
    Padrões para correspondência Entre /LicenseRenewal e /LicenseRenewal/* para caminhos a combinar.
    Protocolos aceites Selecione HTTP e HTTPS no menu suspenso.
    Redirecionamento Desmarque Redirecionar todo o tráfego para usar HTTPS
    Grupo de origem Selecione appService no menu suspenso.
    Caminho de origem Deixe em branco.
    Protocolo de reencaminhamento Selecione Corresponder solicitação de entrada.
    Colocação em cache Marque a caixa de seleção para habilitar o cache.
    Comportamento da colocação em cache de cadeias de consulta Selecione Ignorar cadeia de caracteres de consulta no menu suspenso.

Criar uma política de segurança

Para proteger os sites de veículos motorizados, configure uma política WAF (Web Application Firewall) no ponto de extremidade aplicando uma diretiva de segurança.

  1. No gerenciador Front Door, selecione + Adicionar uma política para o ponto de extremidade. Insira securityPolicy para o nome e, em seguida, na lista suspensa, selecione o domínio.

  2. Selecione Criar novo para criar uma nova política WAF. Nomeie a política WAF frontdoorWAF e selecione Salvar para aplicar a política WAF ao ponto de extremidade.

    Screenshot of adding security policy containing WAF policy settings.

Configurar política WAF

  1. Vá para o recurso frontdoorWAF que você criou na última etapa. Na visão geral, selecione Alternar para o modo de prevenção para começar a bloquear o tráfego mal-intencionado.

    Screenshot of the switch to prevention mode button from overview page of WAF policy.

  2. Selecione Configurações de política em Configurações no painel lateral esquerdo para definir as configurações de política para essa política WAF.

    Screenshot of policy settings button from under settings for WAF policy.

  3. Para determinar rapidamente se a política WAF está funcionando, defina o código de status Bloquear resposta como 999 e selecione Salvar para aplicar as novas configurações de política.

    Screenshot of updating response code for blocked requests.

Com o perfil Front Door todo configurado, é hora de testar enviando solicitações para ele.