Compartir a través de


Proteja su origen con Private Link en Azure Front Door Premium

Se aplica a: ✔️ Front Door Premium

Azure Private Link le permite acceder a los servicios PaaS de Azure y a los servicios hospedados en Azure a través de un punto de conexión privado de la red virtual. El tráfico entre la red virtual y el servicio pasa por la red troncal de Microsoft y elimina la exposición a la red pública de Internet.

Azure Front Door Premium puede conectarse a su origen mediante Private Link. El origen se puede hospedar en la red virtual o como un servicio PaaS, como Azure Web App o Azure Storage. Private Link elimina la necesidad de que el origen sea accesible públicamente.

Diagrama de Azure Front Door con Private Link habilitado.

Al habilitar Private Link para su origen en Azure Front Door Premium, Front Door crea un punto de conexión privado en su nombre desde una red privada regional administrada por Azure Front Door. Recibirá una solicitud de punto de conexión privado de Azure Front Door en el origen pendiente de aprobación.

Debe aprobar la conexión del punto de conexión privado antes de que el tráfico pase al origen de forma privada. Puede aprobar las conexiones de punto de conexión privado mediante Azure Portal, la CLI de Azure o Azure PowerShell. Para más información, consulte Administrar una conexión de punto final privado.

Una vez habilitado un origen de Private Link y aprobada la conexión del punto de conexión privado, la conexión puede tardar unos minutos en establecerse. Durante este tiempo, las solicitudes al origen recibirán un mensaje de error de Azure Front Door. El mensaje de error desaparecerá una vez establecida la conexión.

Una vez aprobada la solicitud, se asigna un punto de conexión privado dedicado para enrutar el tráfico desde la red virtual administrada de Azure Front Door. El tráfico de los clientes llegará a los POP globales de Azure Front Door y, a continuación, se enrutará a través de la red troncal de Microsoft al clúster regional de AFD que hospeda la red virtual administrada que contiene el punto de conexión privado dedicado. A continuación, el tráfico se enruta a su origen mediante la plataforma de enlace privado sobre la red troncal de Microsoft. Por lo tanto, el tráfico entrante al origen protegido en el momento en que llega a Azure Front Door.

Nota:

  • Esta característica solo admite la conectividad de vínculo privado desde AFD a su origen. No se admite la conectividad privada de cliente a AFD.

Orígenes admitidos

El soporte de origen para la conectividad directa del punto de conexión privado está actualmente limitado a los siguientes tipos de origen.

Tipo de origen Documentación
App Service (Aplicación web, Aplicación de funciones) Conecte AFD a un origen de aplicación web o aplicación de funciones con Private Link.
Almacenamiento de Blobs Conecte AFD a un origen de cuenta de almacenamiento a través de Private Link.
Sitio web estático de almacenamiento Conecte AFD a un origen de sitio web estático de almacenamiento con Private Link.
Equilibradores de carga internos o cualquier servicio que exponga equilibradores de carga internos como Azure Kubernetes Service o Red Hat OpenShift en Azure Conecte AFD a un origen interno del equilibrador de carga con Private Link.
API Management Conecte AFD a un origen de API Management con Private Link.
Application Gateway Conecte AFD a un origen de Application Gateway con Private Link.
Azure Container Apps (Aplicaciones de Contenedores de Azure) Conecte AFD a un origen de Azure Container Apps con Private Link.

Nota:

  • Esta característica no se admite con Azure App Service Slots y Azure Static Web Apps.

Disponibilidad regional

El vínculo privado de Azure Front Door está disponible en las siguientes regiones:

América Europa África Asia Pacífico
Sur de Brasil Centro de Francia Norte de Sudáfrica Este de Australia
Centro de Canadá Centro-oeste de Alemania Centro de la India
Centro de EE. UU. Norte de Europa Japón Oriental
Este de EE. UU. Este de Noruega Centro de Corea del Sur
Este de EE. UU. 2 Sur de Reino Unido 2 Este de Asia
Centro-sur de EE. UU. Oeste de Europa Sudeste asiático
Oeste de EE. UU. 2 Centro de Suecia
Oeste de EE. UU. 3
Gobierno de EE.UU.: Arizona
Gobierno de EE. UU. de Texas
Gobierno de EE.UU. - Virginia

La característica Private Link de Azure Front Door es independiente de la región, pero para obtener la mejor latencia, siempre es recomendable elegir la región de Azure más cercana al origen al elegir habilitar el punto de conexión de Private Link de Azure Front Door. Si la región del origen no se admite en la lista de regiones compatibles con AFD Private Link, elija la siguiente región más cercana. Puede usar estadísticas de latencia de ida y vuelta de red de Azure para determinar la siguiente región más cercana en términos de latencia.

  • Azure Front Door no permite mezclar orígenes públicos y privados en el mismo grupo de origen. Si lo hace, puede provocar errores durante la configuración o mientras AFD intenta enviar tráfico a los orígenes públicos y privados. Mantenga todos los orígenes públicos en un único grupo de orígenes y mantenga todos los orígenes privados en un grupo de origen diferente.
  • Mejora de la redundancia:
    • Para mejorar la redundancia en el nivel de origen, asegúrese de que tiene varios orígenes habilitados para private link dentro del mismo grupo de orígenes para que AFD pueda distribuir el tráfico entre varias instancias de la aplicación. Si una instancia no está disponible, otros orígenes todavía pueden recibir tráfico.
    • Para enrutar el tráfico de Private Link, las solicitudes se enrutan desde los POP de AFD a la red virtual administrada por AFD hospedada en clústeres regionales de AFD. Para tener redundancia en caso de que el clúster regional no sea accesible, se recomienda configurar varios orígenes (cada uno con una región de Private Link diferente) en el mismo grupo de origen de AFD. De este modo, incluso si un clúster regional no está disponible, otros orígenes todavía pueden recibir tráfico a través de otro clúster regional. A continuación se muestra cómo sería un grupo de origen con redundancia de nivel de origen y de región. Diagrama que muestra un grupo de origen con redundancia de nivel de origen y región.
  • Al aprobar la conexión de punto de conexión privado o después de aprobar la conexión de punto de conexión privado, si hace doble clic en el punto de conexión privado, verá un mensaje de error que indica "No tiene acceso. Copie los detalles del error y envíelos a los administradores para obtener acceso a esta página". Esto se espera que el punto de conexión privado se hospede dentro de una suscripción administrada por Azure Front Door.
  • Para la protección de la plataforma, cada clúster regional de AFD tiene un límite de 7200 RPS (solicitudes por segundo) por perfil de AFD. Las solicitudes más allá de 7200 RPS se limitarán con "429 Demasiadas solicitudes". Si va a incorporar o esperar tráfico de más de 7200 RPS, se recomienda implementar varios orígenes (cada uno con una región de Private Link diferente) para que el tráfico se reparta entre varios clústeres regionales de AFD. Se recomienda que cada origen sea una instancia independiente de la aplicación para mejorar la redundancia del nivel de origen. Pero si no puede mantener instancias independientes, puede configurar varios orígenes en el nivel de AFD con cada origen que apunte al mismo nombre de host, pero las regiones se mantienen diferentes. De este modo, AFD enrutará el tráfico a la misma instancia, pero a través de clústeres regionales diferentes.

Asociación de un punto de conexión privado con un perfil de Azure Front Door

Creación del punto de conexión privado

Dentro de un único perfil de Azure Front Door, si se crean dos o más orígenes habilitados para Private Link con el mismo conjunto de identificadores de recurso, identificador de grupo y región, para todos estos orígenes solo se crea un punto de conexión privado. Las conexiones al back-end se pueden habilitar mediante este punto de conexión privado. Esta configuración significa que solo tiene que aprobar el punto de conexión privado una vez porque solo se crea un punto de conexión privado. Si crea más orígenes habilitados para Private Link con el mismo conjunto de ubicación, identificador de recurso e identificador de grupo de Private Link, no es necesario aprobar más puntos de conexión privados.

Punto de conexión privado único

Por ejemplo, se crea un único punto de conexión privado para todos los distintos orígenes en distintos grupos de orígenes, pero en el mismo perfil de Azure Front Door, como se muestra en la tabla siguiente:

Diagrama que muestra un único punto de conexión privado creado para los orígenes creados en el mismo perfil de Azure Front Door.

Múltiples puntos de conexión privados

Se crea un nuevo punto de conexión privado en el escenario siguiente:

  • Si cambia la región, el identificador de recurso o el identificador de grupo, AFD considera que la ubicación de Private Link y el nombre de host ha cambiado, lo que da lugar a puntos de conexión privados adicionales creados y cada uno debe aprobarse.

    Diagrama que muestra un punto de conexión privado múltiple creado porque cambia la región y el identificador de recurso para el origen.

  • La habilitación de Private Link para orígenes en diferentes perfiles de Front Door creará puntos de conexión privados adicionales, y se requiere aprobación para cada uno.

    Diagrama que muestra la creación de un punto de conexión privado múltiple porque el origen está asociado a varios perfiles de Azure Front Door.

Eliminación del punto de conexión privado

Cuando se elimina un perfil de Azure Front Door, también se eliminarán los puntos de conexión privados asociados al perfil.

Punto de conexión privado único

Si se elimina AFD-Profile-1, también se eliminará el punto de conexión privado PE1 en todos los orígenes.

Diagrama que muestra que si se elimina AFD-Profile-1, se eliminará PE1 de todos los orígenes.

Múltiples puntos de conexión privados

  • Si se elimina AFD-Profile-1, se eliminarán todos los puntos de conexión privados de PE1 a PE4.

    Diagrama que muestra si se elimina AFD-Profile-1, se eliminan todos los puntos de conexión privados de PE1 a PE4.

  • La eliminación de un perfil de Azure Front Door no afectará a los puntos de conexión privados creados para un perfil de Front Door diferente.

    Diagrama que muestra que la eliminación del perfil de Azure Front Door no afectará a los puntos de conexión privados de otros perfiles de Front Door.

    Por ejemplo:

    • Si se elimina AFD-Profile-2, solo se quitará PE5.
    • Si se elimina AFD-Profile-3, solo se quitará PE6.
    • Si se elimina AFD-Profile-4, solo se quitará PE7.
    • Si se elimina AFD-Profile-5, solo se quitará PE8.

Pasos siguientes