本文介绍如何使用 Azure Front Door 配置 Microsoft Entra 应用程序代理,以实现更低的延迟和更好的性能。
什么是 Azure Front Door?
Azure Front Door 从云或本地基础结构大规模向任何位置的用户提供低延迟、高吞吐量的内容。 使用基于大规模可缩放的Microsoft专用全球网络构建的统一平台加速静态和动态内容交付。 有关 Azure Front Door 的详细信息,请参阅 什么是 Azure Front Door?。
部署步骤
使用 Microsoft Entra 应用程序代理通过 Azure Front Door 安全地在 Internet 上公开 Web 应用程序。 部署的参考体系结构在关系图中表示。
先决条件
- Front Door 服务 - 标准版或经典版。
- 存在于单个区域中的应用。
- 要用于应用程序的自定义域。
- Microsoft Entra ID P1 或 P2 中提供了应用程序代理订阅许可证。 有关许可选项和功能的详细信息,请参阅 Microsoft Entra 定价。
应用程序代理配置
为 Front Door 配置应用程序代理。
- 为应用程序实例的部署位置安装连接器。 例如,“中国东部 2”。 将连接器组分配给连接器的正确区域。 例如“中国北部 2”。
- 使用应用程序代理设置应用程序实例。
- 将内部 URL 设置为内部网络上的地址,例如
contoso.org。 - 将外部 URL 设置为用户从 Internet 访问的域地址。 必须配置自定义域。 例如,
contoso.org。 有关配置自定义域的详细信息,请参阅 entra 应用程序代理Microsoft中的自定义域。 - 将应用程序分配到相应的连接器组。 例如“中国北部 2”。
- 记录应用程序代理生成的 URL。 例如,
contoso.msappproxy.net。 - 在域名系统(DNS)中配置 CNAME 条目。 将外部 URL 指向 Azure Front Door 终结点。 例如,
contoso.org’到contoso.msappproxy.net。
- 将内部 URL 设置为内部网络上的地址,例如
- 在 Azure Front Door 服务中,使用应用程序代理为应用程序生成的 URL 作为后端池的后端。 例如,
contoso.msappproxy.net。
该表显示了一个示例应用程序代理配置。 示例方案使用示例应用程序域 www.contoso.org 作为外部 URL。
| 配置 | 其他信息 | |
|---|---|---|
| 内部 URL | nam.contoso.com |
|
| 外部 URL | contoso.org |
配置自定义域以从 Internet 进行访问。 |
| 连接器组 | China North 2 |
若要优化性能,请选择离应用程序实例最近的地理位置中的连接器组。 |
Azure Front Door 配置
Azure Front Door 在不同的层中提供,包括标准层、高级层和经典层。 基于偏好选择级别。 有关层比较的详细信息,请参阅 Azure Front Door 层比较。
配置步骤参照这些定义。
-
终结点名称 - 终结点的全局唯一名称。 你也可以使用该设置载入自定义域。 例如,前端终结点名称
contoso-nam生成终结点主机名contoso-nam.azurefd.net,并利用自定义域名contoso.org。 - 源 - 设置是指应用程序服务器。 Azure Front Door 将客户端请求路由到源。 路由基于指定的类型、端口、优先级和权重。
- 源类型 - 要添加的资源的类型。 Front Door 支持从 应用服务、 云服务或 存储自动发现应用程序后端。 对于 Azure 中的其他资源,甚至非 Azure 后端,请选择 “自定义 主机”。 例如,为应用程序代理服务上的后端选择 自定义 主机。
-
源主机名 - 设置表示后端源主机名。 例如,
contoso.msappproxy.net。 -
源主机标头 - 此设置表示要为每个请求发送到后端的主机标头值。 例如,
contoso.org。 有关源点和源组的详细信息,请参阅 源和源组 - Azure Front Door。
- 创建标准 Front Door 配置。
- 添加终结点 名称 ,用于生成
azurefd.netFront Door 的默认域。 例如,contoso-nam生成终结点主机名contoso-nam.azurefd.net。 - 为后端资源类型添加 源类型 。 对应用程序代理资源使用 自定义 。
- 添加 Origin 主机名 以表示后端主机名。 例如,
contoso.msappproxy.net。 - 可选:为路由规则启用缓存,以便 Front Door 缓存静态内容。
- 添加终结点 名称 ,用于生成
- 验证部署是否已完成,并且 Front Door 服务已准备就绪。
- 为 Front Door 服务提供用户友好的域名 URL。 为应用程序代理的外部 URL 创建一个 CNAME 记录,该 URL 指向 Front Door 的域名主机名称。 Front Door 的域名生成 Front Door 服务。 例如,
contoso.org指向contoso.azurefd.net. 有关自定义域的详细信息,请参阅 如何添加自定义域 - Azure Front Door。 - 导航到 Front Door 服务仪表板上的 Front Door 管理器,并添加具有自定义主机名的域。 例如,
contoso.org。 - 导航到 Front Door 服务仪表板上的源组。 选择源名称并验证源主机标头是否与后端的域匹配。 示例中的源主机标头为
contoso.org.
| 配置 | 其他信息 | |
|---|---|---|
| 终结点名称 | • 终结点名称: contoso-nam • 前端生成的主机名: contoso-nam.azurefd.net • 自定义域主机名: contoso.org |
必须使用自定义域名。 |
| 源服务器主机名 | contoso.msappproxy.net |
必须使用应用代理为应用生成的 URL。 |
| 连接器组 | China North 2 |
选择在距离应用程序实例最近的地理位置中的连接器组,以优化性能。 |
