问题标签 [azure-front-door]

我正在为 Microsoft Azure 提供的天蓝色前门服务设置 WAF 规则。目前，我正在使用默认规则集 1.0 提供的 OTB 来阻止前 10 个 OWSAP 威胁。

启用默认规则后，我们观察到 403 错误并且无法理解哪个策略阻止了请求。

对 WAF 策略的任何更改至少需要 7 到 15 分钟才能应用。我需要了解是否有任何有效的方法来进行更改和测试。

确定需要启用或禁用哪些规则集的最佳方法是什么？

我们尝试启用所有规则集并且网站开始抛出 403 错误。目前，我们一次启用一个规则并验证该规则是否阻止任何请求。

我已经为三个不同的地区设置了天蓝色的前门服务。用户被路由到最近的数据中心，该数据中心按预期工作。目前，我正在路由规则下设置缓存。我需要排除一些不需要缓存的文件。我没有看到任何允许从某些文件中排除缓存的配置。

下面是配置设置的屏幕截图。

https://imgur.com/biy9tjj

我在 Azure 的同一台机器上的不同端口上托管了多个站点：

ETC

我想使用反向代理通过子域解决这些问题；

是否可以在应用程序网关中执行此操作？它似乎只迎合不同的路径（而不是子域），并且不允许为后端指定端口。

是否还有其他 Azure 功能允许这样做（例如 Front Door）？

我们有一个配置有单个后端池和后端运行状况探测的 Azure 前门资源。后端是在应用服务中运行的 Web API。应用服务资源配置有自定义域。在使用自定义域与应用服务提供的后端配置后端时，前门运行状况指标显示出截然不同的结果。

xxx.azurewebsites.net我们最初使用 App Service ( )提供的主机名配置后端。Front Door 中的指标显示后端运行状况的成功率非常低、非常不一致。然后，我们尝试使用我们在应用服务资源中使用的自定义主机名配置后端，突然间，运行状况指标达到 100%。

在下图中，您可以看到我们使用自定义主机名配置后端的位置。平均生命值飙升至 100%。

无论用于配置后端的主机名如何，我都希望 Front Door 运行状况指标是相同的（等于或接近 100%）。

Azure Front Door 不会将授权标头不记名令牌转发到终结点。除了这个之外，所有其他标题都可以很好地传递。

标准标头（例如 Accept）被传递，虚构的标头（例如“OtherHeader”）也被传递，而基于密钥的安全标头（例如“Ocp-Apim-Subscription-Key”）也被传递通过罚款。

当我们在端点执行 IP 过滤时，路由规则设置为执行 302（找到）重定向​​，这种类型的路由有助于实现这一点。

有没有办法告诉 Front Door 通过重定向调用上的授权标头，就像它通过其他标头一样？

Azue Front Door 支持 TLS 版本 1.0、1.1 和 1.2。目前不支持从 Azure Front Door 删除 TLS 版本 1.0、1.1。

PCI 标准要求协议 TLS 1.0、1.1 不能再用于安全通信。

那么您能否告知 Azure Front Door PCI-DSS 是否兼容？

我正在通过 ARM 模板部署 Azure Front Door，并尝试在自定义域上启用 HTTPS。

根据Front Door 的 Azure 文档，有一个快速入门模板可以“将自定义域添加到 Front Door 并使用通过 DigiCert 生成的 Front Door 托管证书为其启用 HTTPS 流量”。但是，虽然这会添加自定义域，但它不会启用 HTTPS。

查看 Front Door的ARM 模板参考，我看不到任何明显的启用 HTTPS 的方法，但也许我遗漏了什么？

尽管有以下附加信息，我希望能够通过 ARM 模板部署在 Front Door 自定义域上启用 HTTPS。这个时候有可能吗？

附加信息

请注意，有一个启用 HTTPS 的 REST 操作，但这似乎不适用于 Front Door 托管证书 -

还有一个AzPowerShell cmdlet 可以启用 HTTP，它确实有效。

在为 azure front door 设置自定义域的 azure 教程中，有几个地方让我感到困惑。

1. 域可能会出现短暂的停机时间。
2. 自定义域及其子域一次只能与一个 Front Door 关联。
3. 自定义域还必须具有与其关联的默认路径 ('/*') 的路由规则

我们有一个正在运行的生产站点，它有多个子域。我需要用一个前门映射一个子域。例如，我们有https://web.contoso.com、https://api.contoso.com、https://admin.constoso.com。我们为 API 服务创建了一个前端。https://busymonk.azurefd.net。

现在我们只需要 CNAME api.contoso.com 和busymonk.azurefd.net。主域和其他子域是否会发生上述域停机？

我应该如何为自定义域添加路由。甚至这个例子也让我感到困惑。我需要在自定义域和我的后端池之间添加路由，还是需要创建一个https://busymonk.azurefd.net的后端池，然后在 api.contoso.com 到busymonk.azurefd.net 之间添加路由？

为使用 SignalR 的 .NET Core 网站设置带有 AKS 的 SSL/TLS 的推荐方法是什么？

据我所知，Azure Front Door 不起作用，因为它不支持 Websocket。

AKS 没有 AWS 提供的用于执行 SSL/TLS 的服务。

我真的必须在顶部使用 ngnix 代理才能完成这项工作吗？

此外，对于 .NET Core 和 Azure 中的 gRPC，看起来也存在同样的问题。基本上现在根本没有办法在 Azure 上使用 gRPC。

建议？

我目前正在测试 Azure Front Door 功能，想知道是否有任何更改需要很长时间才能保存并在线可用？

例如，我更改了后端池的后端 URL，当我访问 Front Door URL 时，它仍然将我重定向到旧的后端 URL。

我试过清除浏览器和前门缓存但没有成功。自从我保存更改以来已经快一个小时了。

谢谢