Bagikan melalui


Menyambungkan Azure Front Door Premium ke Azure Application Gateway dengan Private Link (Pratinjau)

Artikel ini memandu Anda melalui langkah-langkah untuk mengonfigurasi Azure Front Door Premium untuk terhubung secara privat ke Azure Application Gateway Anda menggunakan Azure Private Link.

Prasyarat

  • Akun Azure dengan langganan aktif. Buat akun secara gratis.

  • Azure PowerShell dipasang secara lokal atau Azure Cloud Shell.

Catatan

Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Azure Cloud Shell

Azure meng-hosting Azure Cloud Shell, lingkungan shell interaktif yang dapat Anda gunakan melalui browser. Anda dapat menggunakan Bash atau PowerShell dengan Cloud Shell untuk bekerja dengan layanan Azure. Anda dapat menggunakan perintah Cloud Shell yang telah diinstal sebelumnya untuk menjalankan kode dalam artikel ini tanpa harus menginstal apa-apa di lingkungan lokal Anda.

Untuk memulai Azure Cloud Shell:

Opsi Contoh/Tautan
Pilih Coba di pojok kanan atas blok kode atau perintah. Memilih Coba tidak otomatis menyalin kode atau perintah ke Cloud Shell. Cuplikan layar yang menunjukkan contoh Try It for Azure Cloud Shell.
Buka https://shell.azure.com, atau pilih tombol Luncurkan Cloud Shell untuk membuka Cloud Shell di browser Anda. Tombol untuk meluncurkan Azure Cloud Shell.
Pilih tombol Cloud Shell pada bilah menu di kanan atas di portal Microsoft Azure. Cuplikan layar yang menunjukkan tombol Cloud Shell di portal Azure

Untuk menggunakan Azure Cloud Shell:

  1. Mulai Cloud Shell.

  2. Pilih tombol Salin pada blok kode (atau blok perintah) untuk menyalin kode atau perintah.

  3. Tempel kode atau perintah ke dalam sesi Cloud Shell dengan memilih Ctrl+Shift+V di Windows dan Linux, atau dengan memilih Cmd+Shift+V di macOS.

  4. Pilih Masukkan untuk menjalankan kode atau perintah.

Mengaktifkan konektivitas privat ke Azure Application Gateway

Ikuti instruksi di Mengonfigurasi Azure Application Gateway Private Link, tetapi jangan selesaikan langkah terakhir pembuatan titik akhir privat.

Membuat grup asal dan menambahkan gateway aplikasi sebagai asal

  1. Gunakan New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject untuk membuat objek dalam memori untuk menyimpan pengaturan pemeriksaan kesehatan.

    $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
        -ProbeIntervalInSecond 60 `
        -ProbePath "/" `
        -ProbeRequestType GET `
        -ProbeProtocol Http
    
  2. Gunakan New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject untuk membuat objek dalam memori untuk menyimpan pengaturan penyeimbangan beban.

    $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
        -AdditionalLatencyInMillisecond 50 `
        -SampleSize 4 `
        -SuccessfulSamplesRequired 3
    
  3. Jalankan New-AzFrontDoorCdnOriginGroup untuk membuat grup asal yang berisi gateway aplikasi Anda.

    $origingroup = New-AzFrontDoorCdnOriginGroup `
        -OriginGroupName myOriginGroup `
        -ProfileName myFrontDoorProfile `
        -ResourceGroupName myResourceGroup `
        -HealthProbeSetting $healthProbeSetting `
        -LoadBalancingSetting $loadBalancingSetting
    
  4. Dapatkan nama konfigurasi IP frontend Application Gateway dengan perintah Get-AzApplicationGatewayFrontendIPConfig .

    $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
    $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
    $FrontEndIPs.name
    
  5. Gunakan perintah New-AzFrontDoorCdnOrigin untuk menambahkan gateway aplikasi Anda ke grup asal.

    New-AzFrontDoorCdnOrigin ` 
        -OriginGroupName myOriginGroup ` 
        -OriginName myAppGatewayOrigin ` 
        -ProfileName myFrontDoorProfile ` 
        -ResourceGroupName myResourceGroup ` 
        -HostName 10.0.0.4 ` 
        -HttpPort 80 ` 
        -HttpsPort 443 ` 
        -OriginHostHeader 10.0.0.4 ` 
        -Priority 1 ` 
        -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
        -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
        -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
        -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
        -Weight 1000 `
    

    Catatan

    SharedPrivateLinkResourceGroupId adalah nama konfigurasi IP frontend Azure Application Gateway.

Menyetujui titik akhir privat

  1. Jalankan Get-AzPrivateEndpointConnection untuk mengambil nama koneksi koneksi titik akhir privat yang memerlukan persetujuan.

    Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
    
  2. Jalankan Approve-AzPrivateEndpointConnection untuk menyetujui detail koneksi titik akhir privat. Gunakan nilai Nama dari output di langkah sebelumnya untuk menyetujui koneksi.

    Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
    

Menyelesaikan penyiapan Azure Front Door

Gunakan perintah New-AzFrontDoorCdnRoute untuk membuat rute yang memetakan titik akhir Anda ke grup asal. Rute ini meneruskan permintaan dari titik akhir ke myOriginGroup.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Profil Azure Front Door Anda sekarang berfungsi penuh setelah menyelesaikan langkah terakhir.

Prasyarat

Mengaktifkan konektivitas privat ke Azure Application Gateway

Ikuti langkah-langkah dalam Mengonfigurasi Azure Application Gateway Private Link, melewati langkah terakhir membuat titik akhir privat.

Membuat grup asal dan menambahkan gateway aplikasi sebagai asal

  1. Jalankan az afd origin-group create untuk membuat grup asal.

    az afd origin-group create \
        --resource-group myResourceGroup \
        --origin-group-name myOriginGroup \
        --profile-name myFrontDoorProfile \
        --probe-request-type GET \
        --probe-protocol Http \
        --probe-interval-in-seconds 60 \
        --probe-path / \
        --sample-size 4 \
        --successful-samples-required 3 \
        --additional-latency-in-milliseconds 50
    
  2. Jalankan az network application-gaeay frontend-ip list untuk mendapatkan nama konfigurasi IP frontend application Gateway.

    az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup
    
  3. Jalankan az afd origin create untuk menambahkan gateway aplikasi sebagai asal ke grup asal.

    az afd origin create \
        --enabled-state Enabled \
        --resource-group myResourceGroup \
        --origin-group-name myOriginGroup \
        --origin-name myAppGatewayOrigin \
        --profile-name myFrontDoorProfile \
        --host-name 10.0.0.4 \
        --origin-host-header 10.0.0.4 \
        --http-port 80  \
        --https-port 443 \
        --priority 1 \
        --weight 500 \
        --enable-private-link true \
        --private-link-location centralus \
        --private-link-request-message 'Azure Front Door private connectivity request.' \
        --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
        --private-link-sub-resource-type myAppGatewayFrontendIPName
    

    Catatan

    private-link-sub-resource-type adalah nama konfigurasi IP frontend Azure Application Gateway.

Setujui koneksi titik akhir privat

  1. Jalankan az network private-endpoint-connection list untuk mendapatkan id koneksi titik akhir privat yang memerlukan persetujuan.

    az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways
    
  2. Jalankan az network private-endpoint-connection approve untuk menyetujui koneksi titik akhir privat menggunakan id dari langkah sebelumnya.

    az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
    

Menyelesaikan penyiapan Azure Front Door

Jalankan az afd route create untuk membuat rute yang memetakan titik akhir Anda ke grup asal. Rute ini meneruskan permintaan dari titik akhir ke myOriginGroup.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

Profil Azure Front Door Anda sekarang berfungsi penuh setelah menyelesaikan langkah terakhir.

Kesalahan umum yang harus dihindari

Berikut ini adalah kesalahan umum saat mengonfigurasi asal Azure Application Gateway dengan Azure Private Link diaktifkan:

  1. Mengonfigurasi asal Azure Front Door sebelum mengonfigurasi Azure Private Link di Azure Application Gateway.

  2. Menambahkan asal Azure Application Gateway dengan Azure Private Link ke grup asal yang sudah ada yang berisi asal publik. Azure Front Door tidak mengizinkan pencampuran asal publik dan privat dalam grup asal yang sama.

  1. Menyediakan nama konfigurasi IP frontend Azure Application Gateway yang salah sebagai nilai untuk SharedPrivateLinkResourceGroupId.
  1. Menyediakan nama konfigurasi IP frontend Azure Application Gateway yang salah sebagai nilai untuk private-link-sub-resource-type.

Langkah berikutnya

Pelajari tentang Layanan Private Link dengan akun penyimpanan.