Was ist ein Regelsatz in Azure Front Door?

Ein Regelsatz ist eine benutzerdefinierte Regel-Engine, die eine Kombination von Regeln in einem einzelnen Satz gruppiert. Sie können einem Regelsatz mehrere Routen zuordnen. Mithilfe eines Regelsatzes können Sie anpassen, wie Anforderungen am Edge von Azure Front Door verarbeitet und behandelt werden.

Häufige unterstützte Szenarien

• Implementieren von Sicherheitsheadern wie HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy, X-Frame-Options und Access-Control-Allow-Origin für CORS-Szenarien (Cross-Origin Resource Sharing), um browserbasierte Sicherheitsrisiken zu verhindern. Sicherheitsbasierte Attribute können auch mit Cookies definiert werden.

• Weiterleiten von Anforderungen an die mobile Version oder Desktopversion Ihrer Anwendung auf Grundlage des Clientgerätetyps

• Verwenden von Umleitungsfunktionen, um die Umleitungen 301, 302, 307 und 308 an den Client zurückzugeben und so an neue Hostnamen, Pfade, Abfragezeichenfolgen oder Protokolle zu leiten

• Dynamisches Ändern der Zwischenspeicherkonfiguration Ihrer Route, basierend auf den eingehenden Anforderungen.

• Umschreiben des URL-Pfads der Anforderung und Weiterleiten der Anforderung an den entsprechenden Ursprung in der konfigurierten Ursprungsgruppe

• Hinzufügen, Ändern oder Entfernen des Anforderungs-/Antwortheaders, um vertrauliche Informationen zu verbergen oder über Header wichtige Informationen zu erfassen

• Unterstützen von Servervariablen zum dynamischen Ändern von Anforderungsheader/Antwortheadern oder URL-Rewrite-Pfaden/Abfragezeichenfolgen. z. B. beim Laden einer neuen Seite oder beim Veröffentlichen eines Formulars. Servervariablen werden derzeit nur in Regelsatzaktionen unterstützt.

• Auffüllen oder Ändern eines Antwortheaders basierend auf einem Anforderungsheaderwert (z. B. Hinzufügen desselben FQDN in Access-Control-Allow-Origin, der auch im Origin-Anforderungsheader enthalten ist)

• Benennen Sie einen von einem Cloudanbieter generierten Antwortheader in einen markenspezifischen Header um, indem Sie einen neuen Antwortheader hinzufügen und den Original-Header löschen.

• Umleiten an einen Zielhost mithilfe eines Werts aus dem Schlüssel-Wert-Paar einer eingehenden Abfragezeichenfolge im Format {http_req_arg_key1}.

• Nutzen Sie die Erfassung von URL-Pfadsegmenten im Rahmen von URL-Umleitungen und -Umschreibungen, indem Sie beispielsweise die tenantID aus Ihrem eingehenden URL-Pfad /abc/<tenantID>/<otherID>/index.html extrahieren und an anderer Stelle im URL-Pfad einfügen, wobei Sie "{url_path:seg1}" im Ziel verwenden.

Aufbau

Regelsätze behandeln Anforderungen am Front Door-Edge. Wenn eine Anfrage an Ihrem Front Door Endpunkt eintrifft, wird zuerst WAF (Web Application Firewall) verarbeitet, gefolgt von den in Route festgelegten Einstellungen. Diese Einstellungen umfassen den Regelsatz, der der Route zugeordnet ist. Regelsätze werden in der unter der Routingkonfiguration angezeigten Reihenfolge verarbeitet. Auch die Regeln in einem Regelsatz werden in der Reihenfolge verarbeitet, in der sie angezeigt werden. Damit alle Aktionen in jeder Regel ausgeführt werden, müssen alle Vergleichsbedingungen innerhalb einer Regel erfüllt sein. Wenn eine Anforderung keine der Bedingungen in der Regelsatzkonfiguration erfüllt, werden nur die Standardrouteneinstellungen angewendet.

Wenn Auswertung der verbleibenden Regeln beenden aktiviert ist, werden die verbleibenden Regelsätze, die der Route zugeordnet sind, nicht mehr ausgeführt.

Beispiel

Im folgenden Diagramm werden zuerst WAF-Richtlinien verarbeitet. Anschließend fügt die Regelsatzkonfiguration einen Antwortheader an. Der Header ändert das maximale Alter (max-age) der Cachesteuerung, wenn die Vergleichsbedingung erfüllt ist.

Begriff

Mit einem Front Door-Regelsatz können Sie eine beliebige Kombination von Konfigurationen erstellen, die jeweils aus einem Satz von Regeln bestehen. Im Folgenden finden Sie einige hilfreiche Begriffe, auf die Sie bei der Konfiguration eines Regelsatzes stoßen.

• Regelsatz: Ein Satz von Regeln, der einer oder mehreren Routen zugeordnet wird.

• Regelsatzregel: Eine Regel, die bis zu 10 Vergleichsbedingungen und 5 Aktionen umfasst. Regeln sind für einen Regelsatz lokal und können nicht für die Verwendung in anderen Regelsätzen exportiert werden. Sie können dieselbe Regel in verschiedenen Regelsätzen erstellen.

• Vergleichsbedingung: Es gibt eine Vielzahl von Vergleichsbedingungen, die Sie zum Analysieren Ihrer eingehenden Anforderungen konfigurieren können. Eine Regel kann bis zu 10 Vergleichsbedingungen enthalten. Übereinstimmungsbedingungen werden mit einem UND-Operator ausgewertet. Reguläre Ausdrücke werden in Bedingungen unterstützt. Eine vollständige Liste der Vergleichsbedingungen finden Sie unter Vergleichsbedingungen für Regeln.

• Aktion: Eine Aktion legt fest, wie Front Door die eingehenden Anforderungen auf Grundlage der Übereinstimmungsbedingungen behandelt. Sie können das Cache-Verhalten und Anforderungs- sowie Antwortheader ändern, und URL-Rewrite sowie URL-Umleitung einstellen. Servervariablen werden mit „Aktion“ unterstützt. Eine Regel kann bis zu fünf Aktionen enthalten. Eine vollständige Liste der Aktionen finden Sie unter Regelsatzaktionen.

ARM-Vorlagenunterstützung

Regelsätze können mit Azure Resource Manager-Vorlagen konfiguriert werden. Ein Beispiel finden Sie unter Front Door Standard/Premium mit Regelsatz. Sie können das Verhalten anpassen, indem Sie die JSON-oder Bicep-Ausschnitte in den Dokumentationsbeispielen für Vergleichsbedingungen und Aktionenverwenden.

Begrenzungen

Informationen zu Kontingentgrenzwerten finden Sie unter Grenzwerte, Kontingente und Einschränkungen für Front Door.

Nächste Schritte

• Erfahren Sie, wie Sie ein Azure Front Door-Profil erstellen.
• Erfahren Sie, wie Sie Ihren ersten Regelsatz konfigurieren.

Mithilfe der Regelmodulkonfiguration können Sie anpassen, wie HTTP-Anforderungen im Front Door-Edge behandelt werden, und ein gesteuertes Verhalten für Ihre Webanwendung erzielen. Das Regelmodul für Azure Front Door (klassisch) weist verschiedene wichtige Funktionen auf, zu denen folgende gehören:

• Erzwingen von HTTPS, um sicherzustellen, dass alle Endbenutzer über eine sichere Verbindung mit Ihren Inhalten interagieren.
• Implementieren von Sicherheitsheadern wie HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy, X-Frame-Options und Access-Control-Allow-Origin für Cross-Origin Resource Sharing (CORS)-Szenarien, um browserbasierte Sicherheitsrisiken zu verhindern. Sicherheitsbasierte Attribute können auch mit Cookies definiert werden.
• Weiterleiten von Anforderungen an mobile oder Desktopversionen Ihrer Anwendung, basierend auf den Mustern von Inhalten in Anforderungsheadern, Cookies oder Abfragezeichenfolgen.
• Verwenden von Umleitungsfunktionen, um die Umleitungen 301, 302, 307 und 308 an den Client zurückzugeben und so an neue Hostnamen, Pfade oder Protokolle zu leiten.

• Dynamisches Ändern der Zwischenspeicherkonfiguration Ihrer Route, basierend auf den eingehenden Anforderungen.
• Umschreiben des Pfads der URL-Anforderung und Weiterleiten der Anforderung an das entsprechende Back-End in Ihrem konfigurierten Back-End-Pool.

Aufbau

Die Regel-Engine bearbeitet Anfragen am Netzwerkrand. Wenn eine Anforderung in den Endpunkt von Azure Front Door (klassisch) eintritt, wird zuerst WAF verarbeitet, gefolgt von der Regelmodulkonfiguration, die Ihrer Front-End-Domäne zugeordnet ist. Wenn eine Regel-Engine-Konfiguration verarbeitet wird, bedeutet dies, dass eine Vergleichsbedingung gefunden wurde. Damit alle Aktionen in jeder Regel verarbeitet werden, müssen alle Vergleichsbedingungen innerhalb einer Regel erfüllt sein. Wenn eine Anforderung eine der Bedingungen in der Regel-Engine-Konfiguration nicht erfüllt, wird die Standardroutingkonfiguration verarbeitet.

Im folgenden Diagramm wird beispielsweise ein Regelmodul so konfiguriert, dass ein Antwortheader angefügt wird. Der Header ändert das maximale Alter (max-age) der Cachesteuerung, wenn die Anforderungsdatei die Erweiterung .jpg aufweist.

Dieses zweite Beispiel zeigt ein Regelmodul, das so konfiguriert wurde, dass Benutzer zu einer mobilen Version der Website umgeleitet werden, wenn das anfordernde Gerät den Typ Mobil aufweist.

In diesen beiden Beispielen wird die angegebene Routingregel verarbeitet, wenn keine der Vergleichsbedingungen erfüllt ist.

Begriff

In Azure Front Door (klassisch) können Sie viele Kombinationen von Regelmodulkonfigurationen erstellen, die jeweils aus einer Reihe von Regeln bestehen. Im Folgenden finden Sie einige hilfreiche Begriffe, auf die Sie möglicherweise bei der Konfiguration Ihres Regelmoduls stoßen.

• Regelmodulkonfiguration: Ein Satz von Regeln, die auf eine einzelne Route angewendet werden. Jede Konfiguration ist auf 25 Regeln beschränkt. Sie können bis zu 10 Konfigurationen erstellen.
• Regelmodulregel: Eine Regel, die sich aus bis zu 10 Vergleichsbedingungen und 5 Aktionen zusammensetzt.
• Vergleichsbedingung: Es gibt viele Vergleichsbedingungen, die verwendet werden können, um Ihre eingehenden Anfragen zu parsen. Eine Regel kann bis zu 10 Vergleichsbedingungen enthalten. Übereinstimmungsbedingungen werden mit einem UND-Operator ausgewertet. Eine vollständige Liste der Vergleichsbedingungen finden Sie unter Vergleichsbedingungen des Regelmoduls.
• Aktion: Aktionen legen fest, was mit Ihren eingehenden Anforderungen geschieht – Aktionen für Anforderungs-/Antwortheader, Weiterleitung, Umleitungen und Neuschreiben sind derzeit möglich. Eine Regel kann bis zu fünf Aktionen enthalten, sie kann aber nur eine Außerkraftsetzung einer Routenkonfiguration enthalten. Eine vollständige Liste der Aktionen finden Sie unter Regelaktionen.

Nächste Schritte

• Erfahren Sie, wie Sie Ihre erste Regelmodulkonfiguration erstellen.
• Erfahren Sie, wie Sie ein Profil für Azure Front Door (klassisch) erstellen.
• Weitere Informationen finden Sie unter Routingarchitektur für Azure Front Door (klassisch).