Connecter Azure Front Door Premium à un site statique de stockage avec Private Link

Cet article vous guide tout au long de la procédure de configuration du niveau Azure Front Door Premium pour une connexion à votre site statique de stockage de façon privée à l’aide du service Azure Private Link.

Prérequis

• Compte Azure avec un abonnement actif. Vous pouvez créer un compte gratuitement.
• Créez un service Private Link pour votre serveur web d’origine.
• Le site web statique de stockage est activé dans votre compte de stockage. Apprenez à activer un site web statique.

Activer Private Link vers un site web statique de stockage

Dans cette section, vous mappez le service Private Link à un point de terminaison privé créé dans le réseau privé d’Azure Front Door.

1. Connectez-vous au portail Azure.

2. Dans votre profil Azure Front Door Premium, sous Paramètres, sélectionnez Groupes d’origine.

3. Sélectionnez le groupe d’origine contenant le site web statique de stockage pour lequel vous souhaitez activer Private Link.

4. Sélectionnez + Ajouter une origine pour ajouter une nouvelle origine de site web statique de stockage ou sélectionnez une origine de site web statique de stockage précédemment créé dans la liste.

   

5. Le tableau suivant contient des informations sur les valeurs à sélectionner dans les champs respectifs, tout en activant private link avec Azure Front Door. Sélectionnez ou entrez les paramètres suivants afin de configurer le site web statique de stockage auquel vous souhaitez qu’Azure Front Door Premium se connecte de façon privée.

   Paramètre	Valeur
   Nom	Entrez un nom pour identifier l’origine de ce site web statique de stockage.
   Type d'origine	Stockage (Site web statique)
   Nom de l’hôte	Dans la liste déroulante, sélectionnez l’hôte que vous souhaitez comme origine.
   En-tête de l’hôte d’origine	Vous pouvez personnaliser l’en-tête d’hôte de l’origine ou le conserver par défaut.
   Port HTTP	80 (par défaut)
   Port HTTPS	443 (par défaut)
   Priorité	Une origine différente peut avoir des priorités différentes pour fournir des origines principales, secondaires et de sauvegarde.
   Poids	1 000 (par défaut). Affectez des pondérations à votre autre origine lorsque vous souhaitez distribuer le trafic.
   Région	Sélectionnez la région qui est la même que votre origine ou la plus proche de celle-ci.
   Sous-ressource cible	Type de sous-ressource pour la ressource sélectionnée précédemment à laquelle votre point de terminaison privé peut accéder. Vous pouvez choisir web ou web_secondary.
   Message de requête	Message personnalisé à afficher lors de l’approbation du point de terminaison privé.

6. Sélectionnez ensuite Ajouter pour enregistrer votre configuration. Ensuite, sélectionnez Mettre à jour pour enregistrer vos modifications.

Approuver la connexion par point de terminaison privé pour un compte de stockage

1. Accédez au compte de stockage que vous souhaitez connecter en privé à Azure Front Door Premium. Sous Paramètres, sélectionnez Mise en réseau.

2. Dans Mise en réseau, sélectionnez Connexions de points de terminaison privés.

   

3. Sélectionnez la requête de point de terminaison privé en attente d’Azure Front Door Premium, puis sélectionnez Approuver.

   

4. Une fois approuvé, vous pouvez voir Approuvé comme état de connexion du point de terminaison privé.

   

Créer une connexion de point de terminaison privé vers web_secondary

Lorsque vous créez une connexion de point de terminaison privé vers la sous-ressource secondaire du site web statique de stockage, vous devez ajouter un suffixe -secondary à l’en-tête de l’hôte d’origine. Si l’en-tête de votre hôte d’origine est par exemple contoso.z13.web.core.windows.net, vous devez le remplacer par contoso-secondary.z13.web.core.windows.net.

Une fois l’origine ajoutée et la connexion de point de terminaison privé approuvée, vous pouvez tester votre connexion de liaison privée vers votre site web statique de stockage.

Cet article vous guide tout au long de la procédure de configuration du niveau Azure Front Door Premium pour que celui-ci se connecte à votre compte de stockage de façon privée à l’aide du service Azure Private Link en utilisant Azure CLI.

Conditions préalables – CLI

Prérequis

• Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.

  

• Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.

  • Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.

  • Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.

  • Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.
• Avoir un profil Azure Front Door Premium fonctionnel, un point de terminaison et un groupe origin. Pour plus d’informations sur la manière de créer un profil Azure Front Door, consultez Créer une instance Front Door – CLI.

Activer Private Link vers un site web statique de stockage dans Azure Front Door Premium

1. Exécutez az afd origin create pour créer un dépôt origin Azure Front Door. Entrez les paramètres suivants afin de configurer le site web statique de stockage auquel vous souhaitez connecter Azure Front Door Premium de façon privée. Notez que private-link-location doit correspondre à l’une des régions disponibles et que private-link-sub-resource-type doit correspondre à web.

az afd origin create --enabled-state Enabled \
                     --resource-group testRG \
                     --origin-group-name default-origin-group \
                     --origin-name pvtStaticSite \
                     --profile-name testAFD \
                     --host-name example.z13.web.core.windows.net\
                     --origin-host-header example.z13.web.core.windows.net\
                     --http-port 80 \
                     --https-port 443 \
                     --priority 1 \
                     --weight 500 \
                     --enable-private-link true \
                     --private-link-location EastUS \
                     --private-link-request-message 'AFD Storage static website origin Private Link request.' \
                     --private-link-resource /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/testRG/providers/Microsoft.Storage/storageAccounts/testingafdpl \
                     --private-link-sub-resource-type web

Approuver la connexion par point de terminaison privé à partir d’un compte de stockage

1. Exécutez az network private-endpoint-connection list pour lister les connexions de point de terminaison privé pour votre compte de stockage. Notez l’« ID de ressource » de la connexion par point de terminaison privé disponible dans votre compte de stockage, dans la première ligne de votre sortie.

    az network private-endpoint-connection list -g testRG -n testingafdpl --type Microsoft.Storage/storageAccounts

2. Exécutez az network private-endpoint-connection approve pour approuver la connexion par point de terminaison privé.

    az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/testRG/providers/Microsoft.Storage/storageAccounts/testingafdpl/privateEndpointConnections/testingafdpl.00000000-0000-0000-0000-000000000000

Créer une connexion par point de terminaison privé vers Web_Secondary

Lorsque vous créez une connexion par point de terminaison privé vers la sous-ressource secondaire du site web statique de stockage, vous devez ajouter un suffixe -secondary à l’en-tête de l’hôte d’origine. Par exemple, si l’en-tête de l’hôte d’origine est example.z13.web.core.windows.net, vous devez le remplacer par example-secondary.z13.web.core.windows.net.

Une fois l’origine ajoutée et la connexion de point de terminaison privé approuvée, vous pouvez tester votre connexion de liaison privée vers votre site web statique de stockage.

Étapes suivantes

En savoir plus sur le service Private Link avec un compte de stockage.