Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatbejelentkezni vagymódosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatjamódosítani a címtárat.
A következőkre vonatkozik: ✔️ Front Door Premium
Az Azure Private Link lehetővé teszi az Azure-ban üzemeltetett Azure PaaS-szolgáltatások és -szolgáltatások elérését a virtuális hálózat egy privát végpontján keresztül. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán halad át, így megszűnik a nyilvános internetnek való kitettség.
Az Azure Front Door Premium a Private Link használatával tud csatlakozni a forráshoz. Az eredet lehet egy virtuális hálózatban üzemeltetett, vagy PaaS-szolgáltatásként használható, például Azure Web App vagy Azure Storage formájában. A Private Link eltávolítja a forrás nyilvános elérésének szükségességét.
A Private Link működése
Ha engedélyezi a Private Linket a forrásához az Azure Front Door Premiumban, a Front Door létrehoz egy privát végpontot az Ön nevében egy Azure Front Door által felügyelt regionális magánhálózatból. Ön kap egy Azure Front Door privát végponttal kapcsolatos kérést a forrásnál, amely a jóváhagyására vár.
A privát végpontkapcsolatot jóvá kell hagynia, mielőtt a forgalom privát módon továbbítható a forráshoz. A privát végpontkapcsolatokat az Azure Portal, az Azure CLI vagy az Azure PowerShell használatával hagyhatja jóvá. További információ: Privát végpontkapcsolat kezelése.
Miután engedélyezte a Private Link forrását, és jóváhagyta a privát végpontkapcsolatot, a kapcsolat létrehozása eltarthat néhány percig. Ez idő alatt a forráshoz érkező kérések egy Azure Front Door hibaüzenetet kapnak. A hibaüzenet a kapcsolat létrejötte után megszűnik.
A kérés jóváhagyása után egy dedikált privát végpont lesz hozzárendelve a forgalom irányításához az Azure Front Door által felügyelt virtuális hálózatról. Az ügyfelektől érkező forgalom eléri az Azure Front Door globális POP-jait, ahonnan a Microsoft gerinchálózatán keresztül továbbítódik a Front Door regionális klaszteréhez, amely egy felügyelt virtuális hálózatot üzemeltet, mely a dedikált privát végpontot tartalmazza. Ezután a forgalom a Microsoft gerinchálózatán keresztül, a privát kapcsolati platformot használva jut el az Ön forrásához. Ezért a beérkező forgalom az Azure Front Doorba való érkezéskor védetté válik az eredeti forrásnál.
Támogatott források
A közvetlen privát végpontkapcsolatok forrástámogatása jelenleg a következő forrástípusokra korlátozódik.
Megjegyzés
Ez a funkció nem támogatott az Azure App Service Slots és az Azure Static Web App esetében.
Régiónkénti elérhetőség
Az Azure Front Door privát kapcsolata a következő régiókban érhető el:
| Amerika | Európa | Afrika | Ázsia és a Csendes-óceáni térség |
|---|---|---|---|
| Dél-Brazília | Közép-Franciaország | Dél-Afrika északi régiója | Ausztrália keleti régiója |
| Közép-Kanada | Középnyugat-Németország | Közép-India | |
| USA középső régiója | Észak-Európa | Kelet-Japán | |
| USA keleti régiója | Kelet-Norvégia | Korea középső régiója | |
| USA 2. keleti régiója | Egyesült Királyság déli régiója | Kelet-Ázsia | |
| USA déli középső régiója | Nyugat-Európa | Délkelet-Ázsia | |
| USA 2. nyugati régiója | Közép-Svédország | Kína Kelet 3 | |
| USA 3. nyugati régiója | Kína 3. északi régiója | ||
| US Gov Arizona | |||
| US Gov Texas | |||
| US Gov Virginia | |||
| US Nat East | |||
| US Nat West | |||
| US Sec – keleti régió | |||
| US Sec – nyugati régió |
Az Azure Front Door Private Link szolgáltatás régiófüggetlen, de a legjobb késés érdekében mindig az Ön forrásához legközelebbi Azure-régiót kell választania az Azure Front Door Private Link-végpont engedélyezésekor. Ha a forrás régiója nem támogatott a Front Door Private Link által támogatott régiók listájában, válassza ki a legközelebbi régiót. Az Azure hálózati oda-vissza késési statisztikái segítségével meghatározhatja, melyik a következő legközelebbi régió a késés tekintetében. Folyamatban van a további régiók támogatásának engedélyezése. Ha egy új régió támogatott, az alábbi utasításokat követve fokozatosan helyezheti át a forgalmat az új régióba.
Privát végpont társítása Azure Front Door-profillal
Privát végpont létrehozása
Ha egy Azure Front Door-profilon belül két vagy több Private Link-kompatibilis forrás jön létre ugyanazzal az erőforrás-azonosítóval, csoportazonosítóval és régióval, akkor minden ilyen forráshoz csak egy privát végpont jön létre. Ezzel a privát végponttal engedélyezhetők a háttérrendszerrel való kapcsolatok. Ez a beállítás azt jelenti, hogy csak egyszer kell jóváhagynia a privát végpontot, mert csak egy privát végpont jön létre. Ha több privát kapcsolattal kompatibilis forrást hoz létre ugyanazzal a Privát kapcsolat helyével, erőforrás-azonosítójával és csoportazonosítójával, akkor nem kell több privát végpontot jóváhagynia.
Figyelmeztetés
Ne konfiguráljon több olyan privát kapcsolattal rendelkező forrást, amely ugyanarra az erőforrásra mutat (azonos erőforrás-azonosítóval, csoportazonosítóval és régióval), ha mindegyik forrás más HTTP- vagy HTTPS-portot használ. Ez a beállítás útválasztási problémákhoz vezethet a Front Door és a forrás között egy platformkorlátozás miatt.
Egyetlen privát végpont
Például egyetlen privát végpont jön létre az összes különböző forráscsoporthoz, de ugyanabban az Azure Front Door-profilban, mint az alábbi táblázatban látható:
Több privát végpont
A rendszer a következő forgatókönyvben hoz létre egy új privát végpontot:
Ha a régió, az erőforrás-azonosító vagy a csoportazonosító megváltozik, az Azure Front Door úgy értelmezi, hogy a Private Link helye és a gazdagépneve megváltozott, amely további privát végpontok létrehozását eredményezi, és mindegyiket jóvá kell hagyni.
Ha engedélyezi a Private Linket a különböző Azure Front Door-profilokban lévő forrásokhoz, további privát végpontokat hoz létre, és mindegyikhez jóváhagyásra van szükség.
Privát végpont eltávolítása
Az Azure Front Door-profil törlésekor a profilhoz társított privát végpontok is törlődnek.
Egyetlen privát végpont
Ha az AFD-Profile-1 törlődik, akkor az összes forrás PE1 privát végpontja is törlődik.
Több privát végpont
Ha az AFD-Profile-1 törlődik, a PE1 és a PE4 közötti összes privát végpont törlődik.
Az Azure Front Door-profil törlése nem érinti a másik Azure Front Door-profilhoz létrehozott privát végpontokat.
Példa:
- Ha az AFD-Profile-2 törlődik, csak a PE5 lesz eltávolítva.
- Ha az AFD-Profile-3 törlődik, csak a PE6 lesz eltávolítva.
- Ha az AFD-Profile-4 törlődik, csak a PE7 lesz eltávolítva.
- Ha az AFD-Profile-5 törlődik, csak a PE8 lesz eltávolítva.
Gyakori kérdések
- Támogatja ez a funkció az ügyfél és az Azure Front Door közötti privát kapcsolatot?
- Nem. Ez a funkció csak az Azure Front Door és a forrás közötti privát kapcsolat használatát támogatja.
- Hogyan javíthatja a redundanciát a Private Link és az Azure Front Door használata során?
A redundancia forrásszinten történő javítása érdekében győződjön meg arról, hogy több privát kapcsolat is engedélyezve van ugyanabban a forráscsoportban, hogy az Azure Front Door el tudja osztani a forgalmat az alkalmazás több példánya között. Ha egy példány nem érhető el, akkor a többi forrás továbbra is fogadhat forgalmat.
A Private Link-forgalom átirányításához a kérések az Azure Front Door poP-jaiból a Front Door által felügyelt virtuális hálózatra lesznek irányítva, amelyek a Front Door regionális fürtöiben futnak. Annak érdekében, hogy akkor is legyen redundancia, ha a regionális fürt nem érhető el, javasolt több forrást konfigurálni (mindegyik más-más Private Link régióval) ugyanazon az Azure Front Door forráscsoporton belül. Így még akkor is, ha egy regionális klaszter nem érhető el, a többi forrás továbbra is fogadhat forgalmat egy másik regionális klaszteren keresztül. Az alábbiakban egy forrásszintű és régiószintű redundanciával rendelkező forráscsoport így nézne ki.
- Keverhetem a nyilvános és a privát eredeteket ugyanabban a forráscsoportban?
- Nem. Az Azure Front Door nem teszi lehetővé a nyilvános és a privát források keverését ugyanabban a forráscsoportban. Ez konfigurációs hibákat vagy forgalomirányítási problémákat okozhat. Az összes nyilvános forrást egy forráscsoportban, az összes magánjellegű forrást pedig külön forráscsoportban tárolhatja.
- Miért jelenik meg a hibaüzenet, hogy a "Forráscsoport csak magánhivatkozásokkal rendelkező vagy magánhivatkozások nélküli forrásokkal rendelkezhet"? Nem használhatják a kettő kombinációját, ha egyszerre engedélyezik a Private Linket több nyilvános forrás esetében?
- Ez a hiba akkor fordulhat elő, ha ugyanabban az eredetcsoportban egyszerre több nyilvános eredethez engedélyezi a privát hivatkozást. Bár mindkét forrás magánjellegű, a frissítési művelet egymás után dolgozza fel a forrásokat, nem egyidejűleg. Az első forrás frissítésekor a második forrás továbbra is technikailag nyilvános, és ideiglenes vegyes állapotot hoz létre, ami hibát eredményez.
- A hiba elkerülése érdekében engedélyezze a Private Linket egyszerre egy forráshoz:
- Távolítsa el az eredetét a forráscsoportból, amíg csak egyetlen forrás marad.
- Engedélyezze a private linket az adott forráshoz, és hagyja jóvá a privát végpontját.
- A jóváhagyás után adja hozzá a második forrást, és engedélyezze a Private Linket.
- Miért jelenik meg hiba a privát végpont részleteinek elérésekor az Azure Portal privát végpontjára duplán kattintva?
- A privát végpont kapcsolatának jóváhagyásakor vagy a privát végpont kapcsolatának jóváhagyása után, ha duplán kattint a privát végpontra, hibaüzenet jelenik meg: "Nincs hozzáférése. Másolja ki a hiba részleteit, és küldje el őket a rendszergazdának, hogy hozzáférjen ehhez a laphoz." Ez várható, mivel a privát végpont az Azure Front Door által felügyelt előfizetésen belül van üzemeltetve.
- Milyen sebességkorlátozások vonatkoznak a Private Link-forgalomra, és hogyan kezelhetem a nagy forgalmú forgatókönyveket?
A platform védelme érdekében minden Front Door regionális fürtnél a Front Door-profilonkénti kérési sebesség legfeljebb 7200 RPS (másodpercenkénti kérés) lehet. A 7200 RPS-en túli kérések egy régióban korlátozottak lesznek a "429 Túl sok kérelem" értékkel.
Ha 7200 RPS-nél nagyobb forgalmat szeretne előkészíteni vagy várni, javasoljuk, hogy több forrást helyezzen üzembe (mindegyik egy másik Private Link-régióval rendelkezik), hogy a forgalom több Front Door-regionális fürtre is kiterjedjen. Javasoljuk, hogy minden forrás az alkalmazás különálló példánya legyen a forrásszintű redundancia javítása érdekében. Ha azonban nem tud külön példányokat fenntartani, akkor is konfigurálhat több forrást a Front Door szintjén úgy, hogy az egyes források ugyanarra a gazdagépnévre mutatnak, de a régiók eltérőek maradnak. Így a Front Door ugyanahhoz a példányhoz irányítja a forgalmat, de különböző regionális fürtökön keresztül.
- A privát kapcsolat által engedélyezett források esetében az állapotminták ugyanazt a hálózati útvonalat követik majd, mint a tényleges forgalom?
- Igen.
Kapcsolódó tartalom
- Az Azure Front Door Premium csatlakoztatása webalkalmazás-forráshoz a Private Link használatával
- Az Azure Front Door Premium csatlakoztatása egy tárfiók forrásához a Private Link használatával
- Az Azure Front Door Premium csatlakoztatása belső terheléselosztó-forráshoz a Private Link használatával
- Az Azure Front Door Premium csatlakoztatása egy statikus tárolówebhely forrásához a Private Link használatával
- Az Azure Front Door Premium csatlakoztatása egy Application Gateway-forráshoz a Private Link használatával
- Az Azure Front Door Premium csatlakoztatása API Management-forráshoz a Private Link használatával
- Az Azure Front Door Premium csatlakoztatása egy Azure Container Apps-forráshoz a Private Link használatával