Connecter Azure Front Door Premium à une origine App Service (application web ou application de fonction) avec Private Link

S’applique à : ✔️ Front Door Premium

Cet article vous guide tout au long de la configuration d’Azure Front Door Premium pour vous connecter à votre App Service (application web ou application de fonction) en privé à l’aide d’Azure Private Link.

Prérequis

• Un compte Azure avec un abonnement actif. Créez un compte gratuitement.

• Profil Premium d'Azure Front Door avec un groupe d’origine. Pour plus d’informations, consultez Créer un Azure Front Door.

• Une liaison privée. Pour plus d’informations, consultez Créer un service Private Link.

• Connectez-vous au portail Azure avec votre compte Azure.

• Profil Premium d'Azure Front Door avec un groupe d’origine. Pour plus d’informations, consultez Créer un Azure Front Door.

• Une liaison privée. Pour plus d’informations, consultez Créer un service Private Link.

• Azure Cloud Shell ou Azure CLI.

  Les étapes décrites dans cet article exécutent les commandes Azure CLI de manière interactive dans Azure Cloud Shell. Pour exécuter les commandes dans le Cloud Shell, sélectionnez Ouvrir Cloud Shell dans le coin supérieur droit d’un bloc de code. Sélectionnez Copier pour copier le code, puis collez-le dans Cloud Shell afin de l’exécuter. Vous pouvez également exécuter le Cloud Shell à partir du Portail Azure.

  Vous pouvez également installer Azure CLI localement afin d’exécuter les commandes. Si vous exécutez Azure CLI localement, connectez-vous à Azure à l’aide de la commande az login.

Remarque

Les points de terminaison privés nécessitent que votre plan App Service réponde à des exigences spécifiques. Pour plus d’informations, consultez Utilisation de points de terminaison privés pour application web Azure. Cette fonctionnalité n’est pas prise en charge avec les emplacements App Service.

Activer Private Link vers un App Service (application web ou application de fonction) dans Azure Front Door Premium

Dans cette section, vous mappez le service Private Link à un point de terminaison privé dans le réseau privé d’Azure Front Door.

1. Dans votre profil Azure Front Door Premium, sous Paramètres, sélectionnez Groupes d’origines.

2. Choisissez le groupe d’origine qui doit contenir l’origine App Service (application web ou application de fonction) pour laquelle vous souhaitez activer Private Link.

3. Sélectionnez + Ajouter une origine pour ajouter une nouvelle origine ou sélectionnez-en une existante dans la liste. Utilisez le tableau suivant pour configurer les paramètres de l’origine :

   Paramètre	Valeur
   Nom	Saisissez un nom pour identifier cette origine.
   Type d'origine	App Services
   Nom de l’hôte	Dans la liste déroulante, sélectionnez l’hôte que vous souhaitez comme origine.
   En-tête de l’hôte d’origine	Personnalisez l’en-tête de l’hôte de l’origine ou conservez l’en-tête par défaut.
   Port HTTP	80 (par défaut)
   Port HTTPS	443 (par défaut)
   Priority	Attribuez différentes priorités aux origines principales, secondaires et de sauvegarde.
   Poids	1 000 (par défaut). Utilisez des pondérations pour distribuer le trafic entre différentes origines.
   Région	Sélectionnez la région qui correspond à votre origine ou la plus proche de celle-ci.
   Sous-ressource cible	Choisissez site comme type de sous-ressource pour la ressource sélectionnée.
   Message de requête	Entrez un message personnalisé à afficher lors de l’approbation du point de terminaison privé.

   

4. Sélectionnez Ajouter pour enregistrer votre configuration, puis sélectionnez Mettre à jour pour enregistrer les paramètres du groupe d’origines.

Utilisez la commande az afd origin create pour créer une nouvelle origine Azure Front Door. La valeur private-link-location doit provenir des régions disponibles et la valeur private-link-sub-resource-type des sites.

az afd origin create --enabled-state Enabled \
                     --resource-group 'myResourceGroup' \
                     --origin-group-name 'og1' \
                     --origin-name 'myapporigin' \
                     --profile-name 'contosoAFD' \
                     --host-name 'example.contoso.com' \
                     --origin-host-header 'example.contoso.com' \
                     --http-port 80 \
                     --https-port 443 \
                     --priority 1 \
                     --weight 500 \
                     --enable-private-link true \
                     --private-link-location 'EastUS' \
                     --private-link-request-message 'AFD app service origin Private Link request.' \
                     --private-link-resource /'subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Web/sites/webapp1/appServices' \
                     --private-link-sub-resource-type sites

Approuver une connexion de point de terminaison privé Azure Front Door Premium à partir d’une App Service

1. Accédez à App Service que vous avez configuré avec Private Link dans la section précédente. Sous Paramètres, sélectionnez Mise en réseau.

2. Dans la section Mise en réseau, sélectionnez Configurer vos connexions de point de terminaison privé.

   

3. Sélectionnez la requête de point de terminaison privé en attente sur Azure Front Door Premium, puis sélectionnez Approuver.

1. Utilisez la commande az network private-endpoint-connection list pour répertorier les connexions de point de terminaison privé pour votre application web. Notez la valeur Resource ID de la connexion de point de terminaison privé figurant sur la première ligne de la sortie.

   az network private-endpoint-connection list --name 'webapp1' --resource-group 'myResourceGroup' --type 'Microsoft.Web/sites'
   

2. Utilisez la commande az network private-endpoint-connection approuver pour approuver la connexion de point de terminaison privé.

   az network private-endpoint-connection approve --id '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Web/sites/webapp1/privateEndpointConnections/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e'
   

Après l’approbation, la connexion peut prendre quelques minutes avant de s’établir complètement. Une fois établi, vous pouvez accéder à votre application web ou à votre application de fonction via Azure Front Door Premium. L’accès direct à l’application à partir de l’Internet public est désactivé une fois que le point de terminaison privé est activé.

Erreurs courantes à éviter

L’erreur suivante est courante lors de la configuration d’une origine avec Azure Private Link activé :

• L’ajout de l’origine avec Azure Private Link est activé pour un groupe d’origines existant qui contient des origines publiques. Avec Azure Front Door, il est impossible de mélanger les origines publiques et privées dans le même groupe d’origines.

Contenu connexe

• Connecter Azure Front Door Premium à une Azure Application Gateway avec Private Link
• Utiliser des points de terminaison privés pour les applications Azure App Service