Verbinden von Azure Front Door Premium mit Azure API Management mit Private Link (Vorschau)
In diesem Artikel finden Sie einen Leitfaden für das Konfigurieren von Azure Front Door Premium, um mithilfe von Azure Private Link eine private Verbindung mit einem Azure API Management-Ursprung herzustellen.
Voraussetzungen
Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
Azure PowerShell (lokale Installation) oder Azure Cloud Shell.
Hinweis
Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.
Azure Cloud Shell
Azure hostet Azure Cloud Shell, eine interaktive Shell-Umgebung, die Sie über Ihren Browser nutzen können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure-Diensten zu arbeiten. Sie können die vorinstallierten Befehle von Cloud Shell verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.
Starten von Azure Cloud Shell:
| Option | Beispiel/Link |
|---|---|
| Wählen Sie rechts oben in einem Code- oder Befehlsblock die Option Ausprobieren aus. Durch die Auswahl von Ausprobieren wird der Code oder Befehl nicht automatisch in Cloud Shell kopiert. |  |
| Rufen Sie https://shell.azure.com auf, oder klicken Sie auf die Schaltfläche Cloud Shell starten, um Cloud Shell im Browser zu öffnen. |  |
| Wählen Sie im Azure-Portal rechts oben im Menü die Schaltfläche Cloud Shell aus. |  |
So verwenden Sie Azure Cloud Shell:
Starten Sie Cloud Shell.
Wählen Sie die Schaltfläche Kopieren für einen Codeblock (oder Befehlsblock) aus, um den Code oder Befehl zu kopieren.
Fügen Sie den Code oder Befehl mit STRG+UMSCHALT+V unter Windows und Linux oder CMD+UMSCHALT+V unter macOS in die Cloud Shell-Sitzung ein.
Drücken Sie die EINGABETASTE, um den Code oder Befehl auszuführen.
Sie verfügen über eine funktionierende Azure API Management-Instanz. Weitere Informationen zum Erstellen einer API Management-Instanz finden Sie unter Erstellen einer neuen Azure API Management-Instanz mithilfe von PowerShell.
Sie benötigen ein funktionierendes Azure Front Door Premium-Profil und einen Endpunkt. Weitere Informationen zum Erstellen eines Azure Front Door-Profils finden Sie unter Erstellen einer Front Door-Instanz: PowerShell.
Erstellen einer Ursprungsgruppe und Hinzufügen der API Management-Instanz als Ursprung
Verwenden Sie New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject, um ein Speicherobjekt zum Speichern der Integritätstesteinstellungen zu erstellen.
$healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject ` -ProbeIntervalInSecond 60 ` -ProbePath "/" ` -ProbeRequestType GET ` -ProbeProtocol HttpVerwenden Sie New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject, um ein Speicherobjekt zum Speichern von Lastenausgleichseinstellungen zu erstellen.
$loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject ` -AdditionalLatencyInMillisecond 50 ` -SampleSize 4 ` -SuccessfulSamplesRequired 3Führen Sie New-AzFrontDoorCdnOriginGroup aus, um eine Ursprungsgruppe zu erstellen, die Ihre API Management-Instanz enthält.
$origingroup = New-AzFrontDoorCdnOriginGroup ` -OriginGroupName myOriginGroup ` -ProfileName myFrontDoorProfile ` -ResourceGroupName myResourceGroup ` -HealthProbeSetting $healthProbeSetting ` -LoadBalancingSetting $loadBalancingSettingVerwenden Sie den Befehl New-AzFrontDoorCdnOrigin, um der Ursprungsgruppe Ihre API Management-Instanz hinzuzufügen.
New-AzFrontDoorCdnOrigin ` -OriginGroupName myOriginGroup ` -OriginName myAPIMOrigin ` -ProfileName myFrontDoorProfile ` -ResourceGroupName myResourceGroup ` -HostName myapim.azure-api.net ` -HttpPort 80 ` -HttpsPort 443 ` -OriginHostHeader myapim.azure-api.net ` -Priority 1 ` -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ApiManagement/service/myAPIM ` -SharedPrivateLinkResourceGroupId Gateway ` -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` -Weight 1000 `
Genehmigen des privaten Endpunkts
Führen Sie Get-AzPrivateEndpointConnection aus, um den Namen der Verbindung mit dem privaten Endpunkt abzurufen, die eine Genehmigung erfordert.
$PrivateEndpoint = Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAPIM -PrivateLinkResourceType Microsoft.ApiManagement/serviceFühren Sie Approve-AzPrivateEndpointConnection aus, um Details der Verbindung mit dem privaten Endpunkt zu genehmigen. Verwenden Sie den Wert Name aus der Ausgabe im letzten Schritt, um die Verbindung zu genehmigen.
Get-AzPrivateEndpointConnection -Name $PrivateEndpoint.Name -ResourceGroupName myResourceGroup -ServiceName myAPIM -PrivateLinkResourceType Microsoft.ApiManagement/service
Vollständige Einrichtung von Azure Front Door
Verwenden Sie den Befehl New-AzFrontDoorCdnRoute, um eine Route zu erstellen, die Ihren Endpunkt der Ursprungsgruppe zuordnet. Diese Route leitet Anforderungen vom Endpunkt an Ihre Ursprungsgruppe weiter.
# Create a route to map the endpoint to the origin group
$Route = New-AzFrontDoorCdnRoute `
-EndpointName myFrontDoorEndpoint `
-Name myRoute `
-ProfileName myFrontDoorProfile `
-ResourceGroupName myResourceGroup `
-ForwardingProtocol MatchRequest `
-HttpsRedirect Enabled `
-LinkToDefaultDomain Enabled `
-OriginGroupId $origingroup.Id `
-SupportedProtocol Http,Https
Ihr Azure Front Door-Profil ist jetzt vollständig funktionsfähig, nachdem Sie den letzten Schritt abgeschlossen haben.
Voraussetzungen
Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.
Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.
Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.
Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.
Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.
Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
Ein funktionierendes Azure Front Door Premium-Profil und ein Endpunkt. Weitere Informationen finden Sie unter Erstellen einer Front Door-Instanz: CLI.
Eine funktionierende Azure API Management-Instanz Weitere Informationen finden Sie unter Schnellstart: Erstellen einer neuen Azure API Management-Instanz mithilfe der Azure-Befehlszeilenschnittstelle.
Erstellen einer Ursprungsgruppe und Hinzufügen der API Management-Instanz als Ursprung
Führen Sie az afd origin-group create aus, um eine Ursprungsgruppe zu erstellen.
az afd origin-group create \ --resource-group myResourceGroup \ --origin-group-name myOriginGroup \ --profile-name myFrontDoorProfile \ --probe-request-type GET \ --probe-protocol Http \ --probe-interval-in-seconds 60 \ --probe-path / \ --sample-size 4 \ --successful-samples-required 3 \ --additional-latency-in-milliseconds 50Führen Sie az afd origin create aus, um der Ursprungsgruppe die API Management-Instanz als Ursprung hinzuzufügen.
az afd origin create \ --enabled-state Enabled \ --resource-group myResourceGroup \ --origin-group-name myOriginGroup \ --origin-name myAPIMOrigin \ --profile-name myFrontDoorProfile \ --host-name myapim.azure-api.net \ --origin-host-header myapim.azure-api.net \ --http-port 80 \ --https-port 443 \ --priority 1 \ --weight 500 \ --enable-private-link true \ --private-link-location centralus \ --private-link-request-message 'Azure Front Door private connectivity request.' \ --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ApiManagement/service/myAPIM \ --private-link-sub-resource-type Gateway
Genehmigen der Verbindung mit einem privaten Endpunkt
Führen Sie az network private-endpoint-connection list aus, um den Namen der Verbindung mit dem privaten Endpunkt abzurufen, die eine Genehmigung benötigt.
az network private-endpoint-connection list --name myAPIM --resource-group myResourceGroup --type Microsoft.ApiManagement/serviceFühren Sie az network private-endpoint-connection approve aus, um die Verbindung mit dem privaten Endpunkt anhand des Namens aus dem letzten Schritt zu genehmigen.
az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ApiManagement/service/myAPIM/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Vollständige Einrichtung von Azure Front Door
Führen Sie az afd route create aus, um eine Route zu erstellen, die Ihren Endpunkt der Ursprungsgruppe zuordnet. Diese Route leitet Anforderungen vom Endpunkt an Ihre Ursprungsgruppe weiter.
az afd route create \
--resource-group myResourceGroup \
--profile-name myFrontDoorProfile \
--endpoint-name myFrontDoorEndpoint \
--forwarding-protocol MatchRequest \
--route-name myRoute \
--https-redirect Enabled \
--origin-group myOriginGroup \
--supported-protocols Http Https \
--link-to-default-domain Enabled
Ihr Azure Front Door-Profil ist jetzt vollständig funktionsfähig, nachdem Sie den letzten Schritt abgeschlossen haben.