Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro: ✔️ Front Door Premium
Azure Private Link umožňuje přístup ke službám a službám Azure PaaS hostovaným v Azure přes privátní koncový bod ve vaší virtuální síti. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje vystavení veřejnému internetu.
Azure Front Door Premium se může připojit k vašemu původnímu serveru při použití služby Private Link. Váš původ je možné hostovat ve virtuální síti nebo hostovat jako službu PaaS, jako je Webová aplikace Azure nebo Azure Storage. Private Link odstraňuje potřebu veřejného přístupu k vašemu zdroji.
Jak funguje Private Link
Když povolíte službu Private Link pro váš původ ve službě Azure Front Door Premium, služba Front Door vytvoří privátní koncový bod vaším jménem z regionální privátní sítě spravované službou Azure Front Door. Obdržíte žádost o privátní koncový bod služby Azure Front Door na původním serveru, která čeká na vaše schválení.
Než může provoz soukromě projít do zdroje, musíte schválit připojení privátního koncového bodu. Připojení privátního koncového bodu můžete schválit pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu. Další informace najdete v tématu Správa připojení privátního koncového bodu.
Po povolení zdroje pro službu Private Link a schválení připojení privátního koncového bodu může vytvoření připojení trvat několik minut. Během této doby požadavky na zdroj obdrží chybovou zprávu služby Azure Front Door. Chybová zpráva zmizí po navázání připojení.
Po schválení vaší žádosti se přiřadí vyhrazený privátní koncový bod pro směrování provozu z virtuální sítě spravované službou Azure Front Door. Provoz z vašich klientů se dostane do globálních ip adres služby Azure Front Door a pak se směruje přes páteřní síť Microsoftu do regionálního clusteru AFD, který hostuje spravovanou virtuální síť obsahující vyhrazený privátní koncový bod. Provoz je poté směrován na váš zdroj prostřednictvím platformy privátního propojení přes páteřní síť Microsoftu. Příchozí provoz do vaší původní infrastruktury je proto okamžitě zabezpečen, jakmile dorazí do služby Azure Front Door.
Poznámka:
- Tato funkce podporuje pouze připojení pomocí soukromého propojení z AFD k vašemu původnímu serveru. Privátní připojení klienta k AFD se nepodporuje.
Podporované zdroje
Podpora zdroje pro přímé připojení privátního koncového bodu je v současné době omezená na následující typy původu.
| Typ původu | Dokumentace |
|---|---|
| App Service (webová aplikace, aplikace funkcí) | Připojte AFD k webové aplikaci nebo zdroji aplikace funkcí pomocí služby Private Link. |
| Blob Storage | Připojte AFD ke koncovému bodu účtu úložiště prostřednictvím Private Link. |
| Statický web na úložišti | Připojte AFD k původu statického webu úložiště pomocí služby Private Link. |
| Interní nástroje pro vyrovnávání zatížení nebo všechny služby, které zpřístupňují interní nástroje pro vyrovnávání zatížení, jako je Azure Kubernetes Service nebo Azure Red Hat OpenShift | Připojte AFD k internímu zdroji nástroje pro vyrovnávání zatížení pomocí služby Private Link. |
| API Management | Připojte AFD k zdroji služby API Management s pomocí služby Private Link. |
| Aplikační brána | Připojte AFD k původu aplikační brány pomocí služby Private Link. |
| Azure Container Apps | Připojte AFD ke zdroji Azure Container Apps pomocí služby Private Link. |
Poznámka:
- Tato funkce se nepodporuje u slotů azure App Service a azure Static Web App.
Regionální dostupnost
Privátní propojení Služby Azure Front Door je dostupné v následujících oblastech:
| Severní a Jižní Amerika | Evropa | Afrika | Asie a Tichomoří |
|---|---|---|---|
| Brazílie – jih | Francie – střed | Jižní Afrika – sever | Austrálie – východ |
| Kanada – střed | Německo – středozápad | Indie – střed | |
| Střed USA | Severní Evropa | Japonsko – východ | |
| USA – východ | Norsko – východ | Korea – střed | |
| USA – východ 2 | Velká Británie – jih | Východní Asie | |
| Střed USA – jih | Západní Evropa | Jihovýchodní Asie | |
| USA – západ 2 | Švédsko – střed | ||
| USA – západ 3 | |||
| US Gov – Arizona | |||
| US Gov – Texas | |||
| US Gov – Virginie |
Funkce Private Link služby Azure Front Door je nezávislá na oblastech, ale pro zajištění nejlepší latence byste měli při výběru povolit koncový bod služby Private Link služby Azure Front Door vždy vybrat oblast Azure, která je nejblíže vašemu původu. Pokud oblast vašeho původu není v seznamu oblastí podporovaných službou PRIVATE Link, vyberte další nejbližší oblast. Pomocí statistik latence odezvy sítě Azure můžete zjistit další nejbližší oblast z hlediska latence.
Tipy při používání integrace služby PRIVATE Link s AFD
- Azure Front Door neumožňuje kombinování veřejných a privátních původů ve stejné skupině původu. Může to způsobit chyby během konfigurace nebo při pokusu AFD odeslat provoz do veřejných nebo soukromých zdrojů. Ponechte všechny veřejné původy v jedné skupině původu a zachovejte všechny vaše soukromé původy v jiné skupině původu.
- Zlepšení redundance:
- Pokud chcete zvýšit redundanci na úrovni původu, ujistěte se, že máte ve stejné skupině původu povolených více zdrojů privátních propojení, aby AFD mohlo distribuovat provoz mezi více instancí aplikace. Pokud je jedna instance nedostupná, ostatní zdroje můžou dál přijímat provoz.
- Aby bylo možné směrovat provoz Private Link, jsou požadavky směrovány z AFD POP k spravované virtuální síti AFD hostované v regionálních clusterech AFD. Pro případ, že regionální cluster není dostupný, doporučujeme nakonfigurovat více zdrojů (každý s jinou oblastí Private Link) ve stejné skupině původu AFD. Tímto způsobem i v případě nedostupnosti jednoho regionálního clusteru můžou ostatní zdroje přijímat provoz prostřednictvím jiného regionálního clusteru. Níže je uvedeno, jak by vypadala skupina původu s redundancí na úrovni původu i na úrovni oblasti.
- Při schvalování připojení privátního koncového bodu nebo po schválení připojení privátního koncového bodu se poklikáním na privátní koncový bod zobrazí chybová zpráva s informací, že nemáte přístup. Zkopírujte podrobnosti o chybě a pošlete je správcům, aby získali přístup k této stránce." Očekává se, že privátní koncový bod je hostovaný v rámci předplatného spravovaného službou Azure Front Door.
- Pro ochranu platforem má každý regionální cluster AFD limit 7200 RPS (požadavky za sekundu) na profil AFD. Požadavky přesahující 7200 RPS budou omezeny prostřednictvím "429 Too Many Requests". Pokud provádíte onboarding nebo očekáváte provoz větší než 7200 RPS, doporučujeme nasadit více zdrojů (každý s jinou oblastí Private Link), aby se provoz rozprostřel mezi několik regionálních clusterů AFD. Doporučujeme, aby každý zdroj byl samostatnou instancí vaší aplikace, aby se zlepšila redundance na úrovni zdroje. Pokud ale nemůžete udržovat samostatné instance, můžete stále nakonfigurovat více původů na úrovni AFD, přičemž každý původ odkazuje na stejný hostitel, ale regiony se udržují odlišně. AfD tímto způsobem bude směrovat provoz do stejné instance, ale přes různé regionální clustery.
Přidružení privátního koncového bodu s profilem služby Azure Front Door
Vytvoření privátního koncového bodu
Pokud se v jednom profilu služby Azure Front Door vytvoří dva nebo více zdrojů s povoleným privátním propojením se stejnou sadou ID prostředku, ID skupiny a oblasti, vytvoří se pro všechny tyto zdroje pouze jeden privátní koncový bod. Pomocí tohoto privátního koncového bodu je možné povolit připojení k back-endu. Toto nastavení znamená, že privátní koncový bod musíte schválit jenom jednou, protože se vytvoří jenom jeden privátní koncový bod. Pokud vytváříte více zdrojů povolených službou Private Link pomocí stejné sady umístění, ID prostředku a ID skupiny Služby Private Link, nemusíte schvalovat žádné další privátní koncové body.
Výstraha
Vyhněte se konfiguraci více zdrojů povolených privátním propojením, které odkazují na stejný prostředek (s identickým ID prostředku, ID skupiny a oblastí), pokud každý zdroj používá jiný port HTTP nebo HTTPS. Toto nastavení může vést k problémům se směrováním mezi službou Front Door a původem kvůli omezení platformy.
Jeden privátní koncový bod
Například jeden privátní koncový bod se vytvoří pro všechny různé původy v různých skupinách původu, ale ve stejném profilu služby Azure Front Door, jak je znázorněno v následující tabulce:
Několik privátních koncových bodů
V následujícím scénáři se vytvoří nový privátní koncový bod:
Pokud se oblast, ID prostředku nebo ID skupiny změní, afD se domnívá, že se změnilo umístění služby Private Link a název hostitele, což vede k vytvoření dalších privátních koncových bodů a každý z nich musí být schválen.
Povolení služby Private Link pro zdroje v různých profilech Azure Front Door vytvoří další soukromé koncové body a pro každý z nich vyžaduje schválení.
Odebrání privátního koncového bodu
Když se odstraní profil služby Azure Front Door, odstraní se také privátní koncové body přidružené k profilu.
Jeden privátní koncový bod
Pokud se odstraní AFD-Profile-1, odstraní se také privátní koncový bod PE1 ve všech zdrojích.
Několik privátních koncových bodů
Pokud se odstraní AFD-Profile-1, odstraní se všechny privátní koncové body z PE1 až do PE4.
Odstranění profilu služby Azure Front Door nemá vliv na privátní koncové body vytvořené pro jiný profil služby Front Door.
Příklad:
- Pokud se odstraní AFD-Profile-2, odebere se jenom PE5.
- Pokud se odstraní AFD-Profile-3, odebere se jenom PE6.
- Pokud se odstraní AFD-Profile-4, odebere se jenom PE7.
- Pokud se odstraní AFD-Profile-5, odebere se jenom PE8.
Další kroky
- Zjistěte, jak připojit Azure Front Door Premium k původu webové aplikace pomocí služby Private Link.
- Zjistěte, jak připojit Azure Front Door Premium k původu účtu úložiště pomocí služby Private Link.
- Zjistěte, jak připojit Azure Front Door Premium k internímu zdroji nástroje pro vyrovnávání zatížení pomocí služby Private Link.
- Zjistěte, jak připojit Azure Front Door Premium k původu statické webové stránky ve službě úložiště pomocí Private Link.
- Zjistěte, jak připojit Azure Front Door Premium k původu aplikační brány pomocí služby Private Link.
- Zjistěte, jak připojit Azure Front Door Premium k původu služby API Management pomocí služby Private Link.
- Zjistěte, jak připojit Azure Front Door Premium k původu služby Azure Container Apps pomocí služby Private Link.