Zabezpečení vašeho původu pomocí služby Private Link ve službě Azure Front Door Premium

Azure Private Link umožňuje přístup ke službám a službám Azure PaaS hostovaným v Azure přes privátní koncový bod ve vaší virtuální síti. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje vystavení veřejnému internetu.

Azure Front Door Premium se může připojit k vašemu původu pomocí služby Private Link. Váš původ je možné hostovat ve virtuální síti nebo hostovat jako službu PaaS, jako je Webová aplikace Azure nebo Azure Storage. Private Link odebere potřebu přístupu vašeho původu veřejně.

Diagram of Azure Front Door with Private Link enabled.

Když povolíte službu Private Link pro váš původ ve službě Azure Front Door Premium, služba Front Door vytvoří privátní koncový bod vaším jménem z regionální privátní sítě spravované službou Azure Front Door. Obdržíte požadavek privátního koncového bodu služby Azure Front Door na zdroji, který čeká na schválení.

Důležité

Před předáním provozu do zdroje soukromého koncového bodu musíte schválit připojení privátního koncového bodu. Připojení privátního koncového bodu můžete schválit pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu. Další informace najdete v tématu Správa připojení privátního koncového bodu.

Po povolení zdroje pro službu Private Link a schválení připojení privátního koncového bodu může vytvoření připojení trvat několik minut. Během této doby se žádostem o původ zobrazí chybová zpráva služby Azure Front Door. Chybová zpráva zmizí po navázání připojení.

Po schválení vaší žádosti se privátní IP adresa přiřadí z virtuální sítě spravované službou Azure Front Door. Provoz mezi službou Azure Front Door a vaším původem bude komunikovat pomocí vytvořeného privátního propojení přes páteřní síť Microsoftu. Příchozí provoz do vašeho původu je teď zabezpečený při příchodu do služby Azure Front Door.

Screenshot of enable Private Link service checkbox from origin configuration page.

Přidružení privátního koncového bodu s profilem služby Azure Front Door

Vytvoření privátního koncového bodu

Pokud se v rámci jednoho profilu služby Azure Front Door vytvoří dva nebo více zdrojů s povoleným privátním propojením se stejnou sadou Private Linku, ID prostředku a ID skupiny, vytvoří se pro všechny tyto zdroje pouze jeden privátní koncový bod. Připojení iony do back-endu je možné povolit pomocí tohoto privátního koncového bodu. Toto nastavení znamená, že privátní koncový bod musíte schválit jenom jednou, protože se vytvoří jenom jeden privátní koncový bod. Pokud vytvoříte více zdrojů povolených službou Private Link pomocí stejné sady umístění služby Private Link, ID prostředku a ID skupiny, už nebudete muset schvalovat privátní koncové body.

Jeden privátní koncový bod

Například jeden privátní koncový bod se vytvoří pro všechny různé původy v různých skupinách původu, ale ve stejném profilu služby Azure Front Door, jak je znázorněno v následující tabulce:

Diagram showing a single private endpoint created for origins created in the same Azure Front Door profile.

Několik privátních koncových bodů

V následujícím scénáři se vytvoří nový privátní koncový bod:

  • Pokud se změní oblast, ID prostředku nebo ID skupiny:

    Diagram showing a multiple private endpoint created because changes in the region and resource ID for the origin.

    Poznámka:

    Změnilo se umístění služby Private Link a název hostitele, což vede k vytvoření dalších privátních koncových bodů a vyžaduje schválení pro každý z nich.

  • Když se profil služby Azure Front Door změní:

    Diagram showing a multiple private endpoint created because the origin is associated with multiple Azure Front Door profiles.

    Poznámka:

    Povolení služby Private Link pro původy v různých profilech služby Front Door vytvoří další privátní koncové body a pro každý z nich vyžaduje schválení.

Odebrání privátního koncového bodu

Když se odstraní profil služby Azure Front Door, odstraní se také privátní koncové body přidružené k profilu.

Jeden privátní koncový bod

Pokud se odstraní AFD-Profile-1, odstraní se také privátní koncový bod PE1 ve všech zdrojích.

Diagram showing if AFD-Profile-1 gets deleted then PE1 across all origins will get deleted.

Několik privátních koncových bodů

  • Pokud se odstraní AFD-Profile-1, odstraní se všechny privátní koncové body z PE1 do PE4.

    Diagram showing if AFD-Profile-1 gets deleted, all private endpoints from PE1 through PE4 gets deleted.

  • Odstranění profilu služby Front Door nebude mít vliv na privátní koncové body vytvořené pro jiný profil služby Front Door.

    Diagram showing Azure Front Door profile getting deleted won't affect private endpoints in other Front Door profiles.

    Příklad:

    • Pokud se odstraní AFD-Profile-2, odebere se jenom PE5.
    • Pokud se odstraní AFD-Profile-3, odebere se jenom PE6.
    • Pokud se odstraní AFD-Profile-4, odebere se jenom PE7.
    • Pokud se odstraní AFD-Profile-5, odebere se jenom PE8.

Regionální dostupnost

Privátní propojení Služby Azure Front Door je dostupné v následujících oblastech:

Amerika Evropě Afrika Asie a Tichomoří
Brazílie – jih Francie – střed Jižní Afrika – sever Austrálie – východ
Střední Kanada Německo – středozápad Indie – střed
USA – střed Severní Evropa Japonsko – východ
East US Norsko – východ Jižní Korea – střed
USA – východ 2 Spojené království – jih Východní Asie
Středojižní USA West Europe
USA – západ 3 Švédsko – střed
US Gov – Arizona
US Gov – Texas

Omezení

Podpora zdroje pro přímé připojení k privátnímu koncovému bodu je aktuálně omezená na:

  • Blob Storage
  • Webová aplikace
  • Interní nástroje pro vyrovnávání zatížení nebo všechny služby, které zpřístupňují interní nástroje pro vyrovnávání zatížení, jako jsou Azure Kubernetes Service, Azure Container Apps nebo Azure Red Hat OpenShift
  • Statický web úložiště

Funkce Private Link služby Azure Front Door je nezávislá na oblastech, ale pro zajištění nejlepší latence byste měli při výběru povolit koncový bod služby Private Link služby Azure Front Door vždy vybrat oblast Azure, která je nejblíže vašemu původu.

Další kroky