Sdílet prostřednictvím


Zabezpečení vašeho původu pomocí služby Private Link ve službě Azure Front Door Premium

Azure Private Link umožňuje přístup ke službám a službám Azure PaaS hostovaným v Azure přes privátní koncový bod ve vaší virtuální síti. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje vystavení veřejnému internetu.

Azure Front Door Premium se může připojit k vašemu původu pomocí služby Private Link. Váš původ je možné hostovat ve virtuální síti nebo hostovat jako službu PaaS, jako je Webová aplikace Azure nebo Azure Storage. Private Link odebere potřebu přístupu vašeho původu veřejně.

Diagram služby Azure Front Door s povolenou službou Private Link

Když povolíte službu Private Link pro váš původ ve službě Azure Front Door Premium, služba Front Door vytvoří privátní koncový bod vaším jménem z regionální privátní sítě spravované službou Azure Front Door. Obdržíte požadavek privátního koncového bodu služby Azure Front Door na zdroji, který čeká na schválení.

Důležité

Před předáním provozu do zdroje soukromého koncového bodu musíte schválit připojení privátního koncového bodu. Připojení privátního koncového bodu můžete schválit pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu. Další informace najdete v tématu Správa připojení privátního koncového bodu.

Po povolení zdroje pro službu Private Link a schválení připojení privátního koncového bodu může vytvoření připojení trvat několik minut. Během této doby obdrží požadavky na původ chybovou zprávu služby Azure Front Door. Chybová zpráva zmizí po navázání připojení.

Po schválení vaší žádosti se privátní IP adresa přiřadí z virtuální sítě spravované službou Azure Front Door. Provoz mezi službou Azure Front Door a vaším původem komunikuje pomocí vytvořeného privátního propojení přes páteřní síť Microsoftu. Příchozí provoz do vašeho původu je teď zabezpečený při příchodu do služby Azure Front Door.

Snímek obrazovky s zaškrtávacím políčkam povolit službu Private Link ze stránky konfigurace zdroje

Přidružení privátního koncového bodu s profilem služby Azure Front Door

Vytvoření privátního koncového bodu

Pokud se v rámci jednoho profilu služby Azure Front Door vytvoří dva nebo více zdrojů s povoleným privátním propojením se stejnou sadou Private Linku, ID prostředku a ID skupiny, vytvoří se pro všechny tyto zdroje pouze jeden privátní koncový bod. Pomocí tohoto privátního koncového bodu je možné povolit připojení k back-endu. Toto nastavení znamená, že privátní koncový bod musíte schválit jenom jednou, protože se vytvoří jenom jeden privátní koncový bod. Pokud vytváříte více zdrojů s povoleným privátním propojením pomocí stejné sady umístění, ID prostředku a ID skupiny služby Private Link, nemusíte už privátní koncové body schvalovat.

Jeden privátní koncový bod

Například jeden privátní koncový bod se vytvoří pro všechny různé původy v různých skupinách původu, ale ve stejném profilu služby Azure Front Door, jak je znázorněno v následující tabulce:

Diagram znázorňující jeden privátní koncový bod vytvořený pro původy vytvořené ve stejném profilu služby Azure Front Door

Několik privátních koncových bodů

V následujícím scénáři se vytvoří nový privátní koncový bod:

  • Pokud se změní oblast, ID prostředku nebo ID skupiny:

    Diagram znázorňující více vytvořených privátních koncových bodů, protože změny v oblasti a ID prostředku pro zdroj

    Poznámka:

    Změnilo se umístění služby Private Link a název hostitele, což vede k vytvoření dalších privátních koncových bodů a vyžaduje schválení pro každý z nich.

  • Když se profil služby Azure Front Door změní:

    Diagram znázorňující více privátních koncových bodů vytvořených, protože zdroj je přidružený k více profilům služby Azure Front Door

    Poznámka:

    Povolení služby Private Link pro původy v různých profilech služby Front Door vytvoří další privátní koncové body a pro každý z nich vyžaduje schválení.

Odebrání privátního koncového bodu

Když se odstraní profil služby Azure Front Door, odstraní se také privátní koncové body přidružené k profilu.

Jeden privátní koncový bod

Pokud se odstraní AFD-Profile-1, odstraní se také privátní koncový bod PE1 ve všech zdrojích.

Diagram znázorňující, jestli se afd-profile-1 odstraní, pak se odstraní PE1 ve všech zdrojích.

Několik privátních koncových bodů

  • Pokud se odstraní AFD-Profile-1, odstraní se všechny privátní koncové body z PE1 až do PE4.

    Diagram znázorňující, jestli se odstraní AFD-Profile-1, odstraní se všechny privátní koncové body z PE1 až PE4.

  • Odstranění profilu služby Azure Front Door nemá vliv na privátní koncové body vytvořené pro jiný profil služby Front Door.

    Diagram znázorňující odstranění profilu služby Azure Front Door, ale nemá vliv na privátní koncové body v jiných profilech služby Front Door

    Příklad:

    • Pokud se odstraní AFD-Profile-2, odebere se jenom PE5.
    • Pokud se odstraní AFD-Profile-3, odebere se jenom PE6.
    • Pokud se odstraní AFD-Profile-4, odebere se jenom PE7.
    • Pokud se odstraní AFD-Profile-5, odebere se jenom PE8.

Regionální dostupnost

Privátní propojení Služby Azure Front Door je dostupné v následujících oblastech:

Amerika Evropě Afrika Asie a Tichomoří
Brazílie – jih Francie – střed Jižní Afrika – sever Austrálie – východ
Střední Kanada Německo – středozápad Indie – střed
USA – střed Severní Evropa Japonsko – východ
USA – východ Norsko – východ Jižní Korea – střed
USA – východ 2 Velká Británie – jih Východní Asie
Středojižní USA Západní Evropa
USA – západ 3 Švédsko – střed
US Gov – Arizona
US Gov – Texas

Omezení

Podpora zdroje pro přímé připojení k privátnímu koncovému bodu je aktuálně omezená na:

  • Blob Storage
  • Webová aplikace
  • Interní nástroje pro vyrovnávání zatížení nebo všechny služby, které zpřístupňují interní nástroje pro vyrovnávání zatížení, jako jsou Azure Kubernetes Service, Azure Container Apps nebo Azure Red Hat OpenShift
  • Statický web úložiště
  • Application Gateway (preview pouze v PowerShellu a rozhraní příkazového řádku) Nepoužívejte v produkčních prostředích)
  • API Management (jenom v PowerShellu a rozhraní příkazového řádku ve verzi Preview). Nepoužívejte v produkčních prostředích)

Poznámka:

  • Tato funkce není podporována u slotů služby Aplikace Azure nebo funkcí.
  • Aplikace Azure integrace brány a služby APIM Management se v současné době nepodporují pomocí webu Azure Portal.

Funkce Private Link služby Azure Front Door je nezávislá na oblastech, ale pro zajištění nejlepší latence byste měli při výběru povolit koncový bod služby Private Link služby Azure Front Door vždy vybrat oblast Azure, která je nejblíže vašemu původu.

Další kroky