Поделиться через

Что такое правило в Azure Front Door?

  • Статья

Набор правил — это обработчик настраиваемых правил, который группирует сочетание правил в единый набор. Вы можете связать набор правил с несколькими маршрутами. Набор правил позволяет настроить способ обработки и обработки запросов на пограничном сервере Azure Front Door.

Распространенные поддерживаемые сценарии

  • Реализация заголовков безопасности, чтобы предотвратить возникновение уязвимостей в браузере, таких как HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy, X-Frame-Options и Access-Control-Allow-Origin в сценариях CORS (Cross-Origin Resource Sharing). Атрибуты для системы безопасности можно также определять с помощью файлов cookie.

  • Направляйте запросы к мобильным или настольным версиям вашего приложения на основе типа устройства клиента.

  • Использование возможностей перенаправления для возврата перенаправлений 301, 302, 307 и 308 клиенту, чтобы направить их на другие имена узлов, пути, строки запросов или протоколы.

  • Динамическое изменение конфигурации кэширования маршрута на основе входящих запросов.

  • Переписывает путь URL-адреса запроса и перенаправляет запрос в соответствующий источник в настроенной группе источников.

  • Добавьте, измените или удалите заголовок запроса или ответа, чтобы скрыть конфиденциальные данные или записать важные сведения через заголовки.

  • Поддержка переменных сервера для динамического изменения заголовков запроса, ответных заголовков или путей перезаписи URL-адресов/строк запроса. Например, при загрузке новой страницы или при публикации формы. В настоящее время переменная сервера поддерживается только в действиях набора правил.

  • Заполните или измените заголовок ответа на основе значения заголовка запроса (например, добавление того же полного доменного имени в Access-Control-Allow-Origin в качестве заголовка источника запроса).

  • Переименуйте заголовок ответа, созданный поставщиком облачных услуг, на бренд-специфичный, добавив новый заголовок ответа и удалив исходный.

  • Перенаправление на узел назначения с помощью значения, извлеченного из входящей пары ключ/значение из строки запроса в формате {http_req_arg_key1}.

  • Используйте извлечение сегмента URL-пути при перенаправлении и перезаписи URL, например, извлеките tenantID из входящего URL-пути /abc/<tenantID>/<otherID>/index.html и вставьте в другое место URL-пути, используя "{url_path:seg1}" в назначении.

Архитектура

Наборы правил обрабатывают запросы на периферии Front Door. Когда запрос поступает на конечную точку Front Door, сначала обрабатывается WAF (брандмауэр веб-приложений), а затем применяются настройки, заданные в маршруте. Эти параметры включают набор правил, связанный с маршрутом. Наборы правил обрабатываются в том порядке, в котором они отображаются в конфигурации маршрутизации. Правила в наборе правил также обрабатываются в порядке их отображения. Чтобы выполнять все действия в каждом правиле, необходимо выполнение всех условий соответствия в этом правиле. Если запрос не соответствует ни одному из условий в конфигурации набора правил, применяются только параметры маршрута по умолчанию.

Если выбран параметр "Остановить оценку оставшихся правил", все остальные наборы правил, связанные с маршрутом, не будут запущены.

Пример

На этой схеме сначала обрабатываются политики WAF. Затем конфигурация набора правил добавляет заголовок ответа. Заголовок изменяет максимальный срок элемента управления кэшем, если условие соответствия истинно.

Схема, показывающая, как набор правил может изменить заголовок ответа для запроса, который проходит через конечную точку Front Door.

Терминология

С помощью набора правил Front Door можно создать любую комбинацию конфигураций, каждая из которых состоит из набора правил. Ниже приведены некоторые полезные термины при настройке набора правил.

  • Набор правил. Набор правил, связанных с одним или несколькими маршрутами.

  • Правило из набора правил. Правило, состоящее из не более чем 10 условий совпадения и 5 действий. Правила являются локальными для набора правил и не могут быть экспортированы для использования в других наборах правил. Одно правило можно создать в разных наборах правил.

  • Условие соответствия. Существует множество условий соответствия, которые можно настроить для синтаксического анализа входящего запроса. Правило может содержать до 10 условий соответствия. Условия соответствия оцениваются с помощью оператора AND. Условия поддерживают регулярное выражение. Полный список условий соответствия можно найти в разделе Условия соответствия набора правил.

  • Действие: действие определяет, как Front Door обрабатывает входящие запросы на основе условий сопоставления. Вы можете изменить поведение кэширования, изменить заголовки запросов, заголовки ответов, задать перезапись URL-адресов и перенаправление URL-адресов. Переменные сервера поддерживаются в управлении. Правило может содержать до пяти действий. Полный список действий набора правил можно найти здесь.

Поддержка шаблона ARM

Наборы правил можно настроить с помощью шаблонов Azure Resource Manager. Пример см. в разделе Front Door Standard/Premium с набором правил. Поведение можно настроить с помощью фрагментов кода JSON или Bicep, входящих в примеры в документации, для условий соответствия и действий.

Ограничения

Сведения об ограничениях квот см. в ограничениях, квотах и ограничениях Front Door.

Следующие шаги

Внимание

Azure Front Door (классическая версия) будет прекращена 31 марта 2027 г. Чтобы избежать нарушений работы служб, важно перенести профили Azure Front Door (классический) на уровень Azure Front Door standard или Premium к марту 2027 года. Дополнительные сведения см. в разделе Azure Front Door (классическая версия) снятие с обслуживания.

Конфигурация подсистемы правил позволяет настроить способ обработки HTTP-запросов на границе Front Door и обеспечивает управляемое поведение веб-приложения. Обработчик правил для Azure Front Door (классическая) выполняет несколько важных функций, в том числе следующие:

  • Применение протокола HTTPS, чтобы все пользователи могли взаимодействовать с вашим содержимым через безопасное подключение.
  • Для предотвращения уязвимостей в браузере, таких как HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy, X-Frame-Options, а также Access-Control-Allow-Origin в сценариях совместного использования ресурсов между источниками (CORS), применяются заголовки безопасности. Атрибуты для системы безопасности можно также определять с помощью файлов cookie.
  • Направляйте запросы к мобильным или настольным версиям вашего приложения, основываясь на шаблонах содержимого заголовков запросов, файлов cookie или строк запросов.
  • Использование возможностей перенаправления для возврата перенаправлений 301, 302, 307 и 308 клиенту, чтобы направить их на другие имена узлов, пути или протоколы.
  • Динамическое изменение конфигурации кэширования маршрута на основе входящих запросов.
  • Перепишите путь URL запроса и перенаправьте запрос на соответствующую серверную часть в настроенном пуле серверов.

Архитектура

Обработчик правил обрабатывает запросы в пограничной среде. Когда запрос поступает в конечную точку подключения Azure Front Door (классическая), сначала обрабатывается WAF, а затем конфигурация механизма правил, связанная с вашим интерфейсным доменом. Если конфигурация обработчика правил обрабатывается, это означает, что обнаружено условие соответствия. Чтобы все действия в каждом правиле обрабатывались, все условия соответствия в каждом правиле должны выполняться. Если запрос не соответствует ни одному из условий в конфигурации обработчика правил, то выполняется обработка конфигурации маршрутизации по умолчанию.

Например, на следующей схеме подсистема правил настраивается для добавления заголовка ответа. Заголовок изменяет максимальный возраст элемента управления кэшем, если файл запроса имеет расширение .jpg.

Схема, показывающая механизм правил, изменяющий максимальный возраст кэша в заголовке ответа, если запрошенный файл имеет расширение .jpg.

В этом втором примере отображается подсистема правил, настроенная для перенаправления пользователей на мобильную версию веб-сайта, если запрашивающее устройство имеет тип Mobile.

Схема, показывающая подсистему правил, перенаправляющую пользователей на мобильный веб-сайт, если запрашивающее устройство имеет тип мобильного устройства.

В обоих этих примерах, если ни одно из условий соответствия не выполняется, обрабатывается указанное правило маршрутизации.

Терминология

В Azure Front Door (классическая модель) можно создавать конфигурации обработчика правил множества сочетаний, каждый из которых состоит из набора правил. Ниже приведены некоторые полезные термины, с которыми вы можете столкнуться при настройке диспетчера правил.

  • Конфигурация движка правил: набор правил, применяемых к одному маршруту. Каждая конфигурация ограничена 25 правилами. Вы можете создать до 10 конфигураций.
  • Правило обработчика правил: правило, состоящее из до 10 условий соответствия и 5 действий.
  • Условие соответствия. Существует много условий соответствия, которые можно использовать для анализа входящих запросов. Правило может содержать до 10 условий соответствия. Условия соответствия оцениваются с помощью оператора AND. Для полного списка условий совпадения см. Правила условий совпадения.
  • Действие: Действия определяют, что происходит с вашими входящими запросами — действия с заголовками запроса и ответа, пересылка, перенаправление и перезаписи доступны в настоящий момент. Правило может содержать до пяти действий; однако правило может иметь только одно переопределение конфигурации маршрута. Полный список действий см. в разделе "Действия правил".

Следующие шаги