Mengamankan Asal Anda dengan Private Link di Azure Front Door Premium

  • Artikel

Azure Private Link memungkinkan Anda mengakses layanan dan layanan Azure PaaS yang dihosting di Azure melalui titik akhir privat di jaringan virtual Anda. Lalu lintas antara jaringan virtual Anda dan layanan melewati jaringan backbone Microsoft, menghilangkan paparan ke Internet publik.

Azure Front Door Premium dapat tersambung ke asal Anda menggunakan Private Link. Asal Anda dapat dihosting di jaringan virtual atau dihosting sebagai layanan PaaS seperti Azure Web App atau Azure Storage. Private Link menghapus kebutuhan asal Anda untuk diakses secara publik.

Diagram of Azure Front Door with Private Link enabled.

Saat Anda mengaktifkan Private Link ke asal Anda di Azure Front Door Premium, Front Door membuat titik akhir privat atas nama Anda dari jaringan privat regional terkelola Azure Front Door. Anda akan menerima permintaan titik akhir privat Azure Front Door di asal sambil menunggu persetujuan Anda.

Penting

Anda harus menyetujui koneksi titik akhir privat sebelum lalu lintas dapat diteruskan ke asal secara privat. Anda dapat menyetujui koneksi titik akhir privat menggunakan portal Azure, Azure CLI, atau Azure PowerShell. Untuk informasi lebih lanjut, lihat Mengelola koneksi Titik Akhir Privat.

Setelah Anda mengaktifkan asal untuk Private Link dan menyetujui koneksi titik akhir privat, diperlukan waktu beberapa menit agar koneksi dibuat. Selama waktu ini, permintaan ke asal akan menerima pesan kesalahan Azure Front Door. Pesan kesalahan akan hilang setelah sambungan dibuat.

Setelah permintaan Anda disetujui, alamat IP privat akan ditetapkan dari jaringan virtual terkelola Azure Front Door. Lalu lintas antara Azure Front Door dan asal Anda akan berkomunikasi menggunakan link privat yang telah ditetapkan melalui jaringan backbone Microsoft. Lalu lintas masuk ke asal Anda sekarang diamankan saat tiba di Azure Front Door Anda.

Screenshot of enable Private Link service checkbox from origin configuration page.

Asosiasi titik akhir privat dengan profil Azure Front Door

Pembuatan titik akhir privat

Dalam satu profil Azure Front Door, jika dua atau beberapa asal yang diaktifkan Private Link dibuat dengan kumpulan Private Link, ID sumber daya, dan ID grup yang sama, maka untuk semua asal tersebut hanya satu titik akhir privat yang dibuat. Koneksi ke backend dapat diaktifkan menggunakan titik akhir privat ini. Penyiapan ini berarti Anda hanya perlu menyetujui titik akhir privat sekali karena hanya satu titik akhir privat yang dibuat. Jika Anda membuat lebih banyak asal yang diaktifkan Private Link menggunakan kumpulan lokasi Private Link, ID sumber daya, dan ID grup yang sama, Anda tidak perlu menyetujui lagi titik akhir privat.

Titik akhir privat tunggal

Misalnya, satu titik akhir privat dibuat untuk semua asal yang berbeda di berbagai grup asal tetapi di profil Azure Front Door yang sama seperti yang ditunjukkan pada tabel di bawah ini:

Diagram showing a single private endpoint created for origins created in the same Azure Front Door profile.

Beberapa titik akhir privat

Titik akhir privat baru dibuat dalam skenario berikut:

  • Jika wilayah, ID sumber daya, atau ID grup berubah:

    Diagram showing a multiple private endpoint created because changes in the region and resource ID for the origin.

    Catatan

    Lokasi Private Link dan nama host telah berubah, menghasilkan titik akhir privat tambahan yang dibuat dan memerlukan persetujuan untuk masing-masing lokasi.

  • Saat profil Azure Front Door berubah:

    Diagram showing a multiple private endpoint created because the origin is associated with multiple Azure Front Door profiles.

    Catatan

    Mengaktifkan Private Link untuk asal di profil Front Door yang berbeda akan membuat titik akhir privat tambahan dan memerlukan persetujuan untuk masing-masing profil.

Penghapusan titik akhir privat

Saat profil Azure Front Door dihapus, titik akhir privat yang terkait dengan profil juga akan dihapus.

Titik akhir privat tunggal

Jika AFD-Profile-1 dihapus, maka titik akhir privat PE1 di semua asal juga akan dihapus.

Diagram showing if AFD-Profile-1 gets deleted then PE1 across all origins will get deleted.

Beberapa titik akhir privat

  • Jika AFD-Profile-1 dihapus, semua titik akhir privat dari PE1 hingga PE4 akan dihapus.

    Diagram showing if AFD-Profile-1 gets deleted, all private endpoints from PE1 through PE4 gets deleted.

  • Menghapus profil Front Door tidak akan memengaruhi titik akhir privat yang dibuat untuk profil Front Door yang berbeda.

    Diagram showing Azure Front Door profile getting deleted won't affect private endpoints in other Front Door profiles.

    Contohnya:

    • Jika AFD-Profile-2 dihapus, hanya PE5 yang akan dihapus.
    • Jika AFD-Profile-3 dihapus, hanya PE6 yang akan dihapus.
    • Jika AFD-Profile-4 dihapus, hanya PE7 yang akan dihapus.
    • Jika AFD-Profile-5 dihapus, hanya PE8 yang akan dihapus.

Ketersediaan wilayah

Tautan privat Azure Front Door tersedia di wilayah berikut:

Amerika Eropa Afrika Asia Pasifik
Brasil Selatan Prancis Tengah Afrika Selatan Utara Australia Timur
Kanada Tengah Jerman Barat Tengah India Tengah
US Tengah Eropa Utara Jepang Timur
AS Timur Norwegia Timur Korea Tengah
AS Timur 2 UK Selatan Asia Timur
US Tengah Selatan Eropa Barat
AS Barat 3 Swedia Tengah
US Gov Arizona
US Gov Texas

Batasan

Dukungan asal untuk konektivitas titik akhir privat langsung saat ini terbatas pada:

  • Penyimpanan Blob
  • Aplikasi Web
  • Load balancer internal, atau layanan apa pun yang mengekspos load balancer internal seperti Azure Kubernetes Service, Azure Container Apps, atau Azure Red Hat OpenShift
  • Situs Web Statis Penyimpanan

Fitur Azure Front Door Private Link adalah agnostik wilayah tetapi untuk latensi terbaik, Anda harus selalu memilih wilayah Azure yang paling dekat dengan asal Anda saat memilih untuk mengaktifkan titik akhir Azure Front Door Private Link.

Langkah berikutnya