Conexión de Azure Front Door Premium a una instancia de Azure Application Gateway con Private Link (versión preliminar)

Este artículo le guía por los pasos necesarios para configurar una instancia de Azure Front Door Premium para conectarse de forma privada a Azure Application Gateway mediante Azure Private Link.

Requisitos previos

• Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.

• Azure PowerShell instalado localmente o Azure Cloud Shell.

Nota:

Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Para comenzar, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Azure Cloud Shell

En Azure se hospeda Azure Cloud Shell, un entorno de shell interactivo que puede utilizar mediante el explorador. Puede usar Bash o PowerShell con Cloud Shell para trabajar con los servicios de Azure. Puede usar los comandos preinstalados de Cloud Shell para ejecutar el código de este artículo sin tener que instalar nada en su entorno local.

Para iniciar Azure Cloud Shell:

Opción	Ejemplo o vínculo
Seleccione Pruébelo en la esquina superior derecha de un bloque de código o de comandos. Solo con seleccionar Pruébelo no se copia automáticamente el código o comando en Cloud Shell.
Vaya a https://shell.azure.com o seleccione el botón Iniciar Cloud Shell para abrir Cloud Shell en el explorador.
Seleccione el botón Cloud Shell en la barra de menús de la esquina superior derecha de Azure Portal.

Para usar Azure Cloud Shell:

1. Inicie Cloud Shell.

2. Seleccione el botón Copiar en un bloque de código (o bloque de comandos) para copiar el código o comando.

3. Pegue el código o comando en la sesión de Cloud Shell. Para ello, seleccione Ctrl+Mayús+V en Windows y Linux, o bien seleccione Cmd+Mayús+V en macOS.

4. Seleccione Intro para ejecutar el código o comando.

• Tener un perfil de Azure Front Door Premium en funcionamiento y un punto de conexión. Para más información sobre cómo crear un perfil de Azure Front Door, consulte Creación de una instancia de Front Door: PowerShell.

• Tener una instancia de Azure Application Gateway en funcionamiento. Para más información sobre cómo crear una instancia de Application Gateway, consulte Tráfico web directo con Azure Application Gateway mediante Azure PowerShell

Habilitación de la conectividad privada con Azure Application Gateway

Siga las instrucciones de Configuración de Private Link de Azure Application Gateway, pero no complete el paso final de creación de un punto de conexión privado.

Creación de un grupo de origen y adición de la puerta de enlace de aplicaciones como origen

1. Use New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject para crear un objeto en memoria para almacenar la configuración del sondeo de estado.

   $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
       -ProbeIntervalInSecond 60 `
       -ProbePath "/" `
       -ProbeRequestType GET `
       -ProbeProtocol Http
   

2. Use New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject para crear un objeto en memoria para almacenar la configuración de equilibrio de carga.

   $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
       -AdditionalLatencyInMillisecond 50 `
       -SampleSize 4 `
       -SuccessfulSamplesRequired 3
   

3. Ejecute new-AzFrontDoorCdnOriginGroup para crear un grupo de origen que contenga la puerta de enlace de aplicaciones.

   $origingroup = New-AzFrontDoorCdnOriginGroup `
       -OriginGroupName myOriginGroup `
       -ProfileName myFrontDoorProfile `
       -ResourceGroupName myResourceGroup `
       -HealthProbeSetting $healthProbeSetting `
       -LoadBalancingSetting $loadBalancingSetting
   

4. Obtenga el nombre de configuración ip de front-end de Application Gateway con el comando Get-AzApplicationGatewayFrontendIPConfig.

   $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
   $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
   $FrontEndIPs.name
   

5. Use el comando New-AzFrontDoorCdnOrigin para agregar la puerta de enlace de aplicaciones al grupo de origen.

   New-AzFrontDoorCdnOrigin ` 
       -OriginGroupName myOriginGroup ` 
       -OriginName myAppGatewayOrigin ` 
       -ProfileName myFrontDoorProfile ` 
       -ResourceGroupName myResourceGroup ` 
       -HostName 10.0.0.4 ` 
       -HttpPort 80 ` 
       -HttpsPort 443 ` 
       -OriginHostHeader 10.0.0.4 ` 
       -Priority 1 ` 
       -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
       -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
       -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
       -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
       -Weight 1000 `
   

   Nota:

   SharedPrivateLinkResourceGroupId es el nombre de la configuración ip de front-end de Azure Application Gateway.

Apruebe el punto de conexión privado

1. Ejecute get-AzPrivateEndpointConnection para recuperar el nombre de conexión del punto de conexión privado que necesita aprobación.

   Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

2. Ejecute Approve-AzPrivateEndpointConnection para aprobar los detalles de conexión del punto de conexión privado. Use el Nombre valor de la salida del paso anterior para aprobar la conexión.

   Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

Completar la configuración de Azure Front Door

Use el comando New-AzFrontDoorCdnRoute para crear una ruta que asigne el punto de conexión al grupo de origen. Esta ruta reenvía las solicitudes del punto de conexión al grupo de origen.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

El perfil de Azure Front Door ahora es totalmente funcional después de completar el paso final.

Requisitos previos

• Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.

  

• Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.

  • Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.

  • En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.

  • Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.

• Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.

• Un perfil de Azure Front Door Premium en funcionamiento y un punto de conexión. Vea Creación de una instancia de Front Door: CLI.

• Una instancia de Azure Application Gateway en funcionamiento. Vea Dirección del tráfico web con Azure Application Gateway: CLI de Azure.

Habilitación de la conectividad privada con Azure Application Gateway

Siga los pasos descritos en Configuración de Private Link de Azure Application Gateway, omitiendo el último paso para crear un punto de conexión privado.

Creación de un grupo de origen y adición de la puerta de enlace de aplicaciones como origen

1. Ejecute az afd origin-group create para crear un grupo de origen.

   az afd origin-group create \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --profile-name myFrontDoorProfile \
       --probe-request-type GET \
       --probe-protocol Http \
       --probe-interval-in-seconds 60 \
       --probe-path / \
       --sample-size 4 \
       --successful-samples-required 3 \
       --additional-latency-in-milliseconds 50
   

2. Ejecute az network application-gaeay frontend-ip list para obtener el nombre de configuración ip de front-end de Application Gateway.

   az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup
   

3. Ejecute az afd origin create para agregar una puerta de enlace de aplicaciones como origen al grupo de origen.

   az afd origin create \
       --enabled-state Enabled \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --origin-name myAppGatewayOrigin \
       --profile-name myFrontDoorProfile \
       --host-name 10.0.0.4 \
       --origin-host-header 10.0.0.4 \
       --http-port 80  \
       --https-port 443 \
       --priority 1 \
       --weight 500 \
       --enable-private-link true \
       --private-link-location centralus \
       --private-link-request-message 'Azure Front Door private connectivity request.' \
       --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
       --private-link-sub-resource-type myAppGatewayFrontendIPName
   

   Nota:

   private-link-sub-resource-type es el nombre de la configuración ip de front-end de Azure Application Gateway.

Aprobación de la conexión del punto de conexión privado

1. Ejecute az network private-endpoint-connection list para obtener el identificador de la conexión de punto de conexión privado que necesita aprobación.

   az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways
   

2. Ejecute az network private-endpoint-connection approve para aprobar la conexión de punto de conexión privado mediante el identificador del paso anterior.

   az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
   

Completar la configuración de Azure Front Door

Ejecute az afd route create para crear una ruta que asigne el punto de conexión al grupo de origen. Esta ruta reenvía las solicitudes del punto de conexión al grupo de origen.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

El perfil de Azure Front Door ahora es totalmente funcional después de completar el paso final.

Errores comunes que evitar

A continuación se muestran errores comunes al configurar un origen de Azure Application Gateway con Azure Private Link habilitado:

1. Configuración del origen de Azure Front Door antes de configurar Azure Private Link en Azure Application Gateway.

2. Adición del origen de Azure Application Gateway con Azure Private Link a un grupo de origen existente que contiene orígenes públicos. Azure Front Door no permite mezclar orígenes públicos y privados en el mismo grupo de origen.

3. Proporcionar un nombre de configuración ip de front-end de Azure Application Gateway incorrecto como valor de SharedPrivateLinkResourceGroupId.

3. Proporcionar un nombre de configuración ip de front-end de Azure Application Gateway incorrecto como valor de private-link-sub-resource-type.

Pasos siguientes

Más información sobre el servicio Private Link con la cuenta de almacenamiento.