问题标签 [azure-front-door]

我希望得到您对以下内容的反馈：

• 对于我的 AppServices，我使用 AzureAD 设置授权。我得到身份验证页面并重定向到我的 Appservice 很好。
• 然后我设置了一个 Azure Front Door，它重定向到我的 AppServices 作为后端
• 在浏览器中，当我转到https://myfrontdoortest.azurefd.net时，我得到 AzureAD 身份验证页面，并且重定向到我的 AppService 是成功的（在浏览器地址栏中显示为https://myappservicestest.azurewebsites.net）。

现在我想用 FrontDoor 保护我的 AppServices，正如 MS 在此处https://docs.microsoft.com/en-us/azure/frontdoor/front-door-faq中所解释的那样。在这个阶段我只应用 IP 限制（还没有 X-FrontDoor-ID）

• 测试#1：当我像https://myappservicestest.azurewebsites.net一样直接访问我的 AppService 时，我 会按预期获得 403 禁止访问。
• 测试 #2：当我访问https://myfrontdoortest.azurefd.net时，我会看到 AzureAD 身份验证页面。我提供了有效的凭据，我注意到我被重定向到 https://myappservicestest.azurewebsites.net 并带有 403 Forbidden。

我仍在努力修复它。

• 我应该在回复 URL 中更改以管理 IP 限制吗？
• 我应该在 FrontDoor 配置中进行更改吗？

非常欢迎您的帮助

相关 Github 问题：https ://github.com/kubernetes/ingress-nginx/issues/6519

在以下方法中设置值时，如何使用 helm 实现上述配置？

我从 MS 和其他博客文章中阅读了文档，但我仍然对如何将 AppServices 的访问限制为 FrontDoor 感到困惑。

根据文档，我发现我们需要应用 IP ACL（我不谈论 X-FrontDoor-ID）。我遵循他们的指导方针，发现允许超过 100 个 IP。

我的问题是为什么不能只使用下面的 ServiceTag ？仅一条规则不足以确保安全吗？

你的意见 ？谢谢

我的前门有两个后端池。一个是为应用服务 AAA 配置的，第二个是为服务 BBB 配置的：

• aaa.azurewebsites.net

• bbb.azurewebsites.net

我正在添加两个路由规则，一个用于后端池 AAA，第二个用于后端池 BBB，并带有以下要匹配的模式：

后端池 AAA：

1. /*
2. /aaa/*

后端池 BBB：

1. /bbb/*

规则就是这样，所以没有设置规则引擎配置，路由类型是“转发”并且 URL 重写/缓存被禁用。

现在，我正在尝试访问我的后端：

• fd.azurefd.net/web-method-of-aaa - 它工作并从后端 aaa 调用名为“web-method-of-aaa”的 Web 方法
• fd.azurefd.net/aaa/web-method-of-aaa - 返回 404
• fd.azurefd.net/bbb/web-method-of-bbb - 返回 404

我在这里想念什么？我找到了一个选项，但在我的情况下无法使用它，因为我的 Web 应用程序是从 Container Registry 部署的，因此我无法在应用程序服务中添加虚拟目录。

我有一个 azure 前门，它具有自定义前端/域、后端池和配置为使用 azure Web 应用程序作为后端的路由规则。当我访问该网站时，请求按应有的方式通过前门并选择最佳可用后端，但它在浏览器上显示来自后端池的 azure webapp 的 url，而不是 azure 前门域。当我被定向到后端并且不在浏览器中显示 azure Web 应用程序的 url 时，我希望在浏览器中有前端/域。

例如，当我访问www.mysite.com时，我希望它像www.mysite.com/foo（显示来自后端 Web 应用程序的内容）而不是 mywebapp.azurewebsites.net/foo

关于如何实现或是否有可能实现的任何指导？

我们计划在 2 个不同的天蓝色区域的 2 个 Web 服务器中托管一个 Web 应用程序，我计划使用流量管理器或 Azure 前门进行负载平衡。

我们希望根据优先级分配流量，因此如果一个区域的应用出现故障，LB 可以转移到其他实例。

假设我在美国中部和欧洲托管了一个实例，并在印度地区使用流量管理器或前门。

我想将 Central Us 实例设置为主实例，并将 Europe 实例设置为 Secondary，因此 LB 可以将流量路由到 Central Us 并在灾难中故障转移到欧洲。

当用户连接到 Central Us 区域并出现故障时会发生什么，负载均衡器如何处理会话管理？它是由负载平衡器自动处理还是需要任何配置？我不想使用 Azure 前门粘性会话，因为我想使用基于优先级的路由。由于流量管理器在 DNS 级别起作用，我可以将它用于我的用例吗？

我想部署一个 Azure Front Door，其后端链接到存储帐户的静态网站。如果我使用 Azure 门户没有问题，但我无法获取如何检索主静态网站的端点？

此外，Primary Endpoint 就像https://saprodgamingfiles.z6.web.core.windows.net/我们想要的后端主机名一样saprodgamingfiles.z6.web.core.windows.net。

如何自动创建与存储帐户的静态网站主端点相关的 Front Door 后端？

合成

我想从 Azure Front Door Terraform 配置自动执行以下操作host_header...address

...与使用存储帐户创建的静态网站相关：

我是 Terraform 和 Azure 的新手，但我搜索了很多，但找不到令人满意的解决方案。我很惊讶它没有提高那么多，也许我只是错过了一些东西？

最好的

Azure Font Door 很好地为我们提供了免费的 SSL 证书（当然 - 包含在价格中）。这些是自动生成的，不需要管理。

那么我们如何实现从 Front Door 到我们的 App 服务的 SSL 通信（Front Door 本质上是一个反向代理）？

问题是（根据我的理解） - 为了使 cookie 正常工作 - 我们必须为前门 -> 应用服务的流量正确设置主机标头 - 这意味着应用服务本身必须具有证书才能为该主机名执行 HTTPS.... 但是我们如何才能让应用服务使用 Front Door 中的证书？

一步步：

• 在浏览器中：https ://www.mycompany.com
• 这将解析为执行 SSL 验证的 Azure Front Door。
• Azure Front Door 将此路由到 mycompany.azurewebsites.net 上托管的应用服务
• 为使 cookie 正常工作，前门必须将主机标头设置为“www.mycompany.com”
• 为了使此流量成为 HTTPS，应用程序服务必须具有“www.mycompany.com”的证书 - 但我如何获取/使用此证书，记住它是由 Front Door 管理的？

我看不出有办法从前门获得证书。

请问我在这里遗漏或误解了什么？

谢谢-

使用 Azure CLI，我想根据其地址从 Front Door 后端池中删除一系列后端。但是据我所知，您需要知道后端在列表（索引）中的位置，而不是从地址中挑选。

我az network front-door backend-pool backend list用来获取后端列表，响应没有提供要使用的索引。

• 我可以通过地址或其他标识符而不是索引来删除后端吗？

如果我被迫按索引删除：

• 如果我多次列出后端，是否可以保证它们总是以相同的顺序返回？
• 如果我向池中添加一个新后端，它是否总是列表中的最后一个，因此是最高索引？
• 如果我删除第一个后端（索引 = 1），该索引是否会被列表中的下一个替换？

我已经在几个应用程序网关前部署了 AFD（特别是用于地理定位负载平衡），现在我的应用程序网关指标受到来自 AFD 的请求的轰炸，我想将它们过滤掉。这里有什么想法吗？