Proteggere l'origine con collegamento privato in Frontdoor di Azure Premium
collegamento privato di Azure consente di accedere ai servizi e ai servizi PaaS di Azure ospitati in Azure tramite un endpoint privato nella rete virtuale. Il traffico tra la rete virtuale e il servizio passa attraverso la rete backbone Microsoft, eliminando l'esposizione alla rete Internet pubblica.
Frontdoor di Azure Premium può connettersi all'origine usando collegamento privato. L'origine può essere ospitata in una rete virtuale o ospitata come servizio PaaS, ad esempio App Web di Azure o Archiviazione di Azure. collegamento privato rimuove la necessità di accedere pubblicamente all'origine.
Funzionamento di collegamento privato
Quando si abilita collegamento privato all'origine in Frontdoor di Azure Premium, Frontdoor crea un endpoint privato per conto di una rete privata dell'area gestita di Frontdoor di Azure. Si riceverà una richiesta di endpoint privato di Frontdoor di Azure all'origine in attesa dell'approvazione.
Importante
È necessario approvare la connessione all'endpoint privato prima che il traffico possa passare privatamente all'origine. È possibile approvare le connessioni all'endpoint privato usando le portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell. Per altre informazioni, vedere Gestire una connessione endpoint privato.
Dopo aver abilitato un'origine per collegamento privato e aver approvato la connessione all'endpoint privato, la connessione può richiedere alcuni minuti. Durante questo periodo, le richieste all'origine riceveranno un messaggio di errore di Frontdoor di Azure. Il messaggio di errore verrà eliminato una volta stabilita la connessione.
Dopo l'approvazione della richiesta, un indirizzo IP privato viene assegnato dalla rete virtuale gestita di Frontdoor di Azure. Il traffico tra Frontdoor di Azure e l'origine comunicherà usando il collegamento privato stabilito sulla rete backbone Microsoft. Il traffico in ingresso verso l'origine è ora protetto quando arriva alla frontdoor di Azure.
Associazione di un endpoint privato con un profilo frontdoor di Azure
Creazione di endpoint privati
All'interno di un singolo profilo frontdoor di Azure, se due o più origini abilitate collegamento privato vengono create con lo stesso set di collegamento privato, ID risorsa e ID gruppo, per tutte queste origini viene creato un solo endpoint privato. Connessione ioni al back-end possono essere abilitate usando questo endpoint privato. Questa configurazione significa che è necessario approvare l'endpoint privato una sola volta perché viene creato un solo endpoint privato. Se si creano più origini abilitate collegamento privato usando lo stesso set di collegamento privato posizione, ID risorsa e ID gruppo, non sarà più necessario approvare gli endpoint privati.
Singolo endpoint privato
Ad esempio, un singolo endpoint privato viene creato per tutte le origini diverse in gruppi di origine diversi, ma nello stesso profilo frontdoor di Azure, come illustrato nella tabella seguente:
Più endpoint privati
Un nuovo endpoint privato viene creato nello scenario seguente:
Se l'area, l'ID risorsa o l'ID gruppo cambia:
Nota
Il percorso collegamento privato e il nome host sono stati modificati, generando endpoint privati aggiuntivi creati e richiede l'approvazione per ognuno di essi.
Quando il profilo frontdoor di Azure cambia:
Nota
L'abilitazione di collegamento privato per le origini in diversi profili frontdoor creerà endpoint privati aggiuntivi e richiede l'approvazione per ognuno di essi.
Rimozione dell'endpoint privato
Quando un profilo frontdoor di Azure viene eliminato, verranno eliminati anche gli endpoint privati associati al profilo.
Singolo endpoint privato
Se AFD-Profile-1 viene eliminato, verrà eliminato anche l'endpoint privato PE1 in tutte le origini.
Più endpoint privati
Se AFD-Profile-1 viene eliminato, tutti gli endpoint privati da PE1 a PE4 verranno eliminati.
L'eliminazione di un profilo frontdoor non influisce sugli endpoint privati creati per un profilo Frontdoor diverso.
Ad esempio:
- Se AFD-Profile-2 viene eliminato, verrà rimosso solo PE5.
- Se AFD-Profile-3 viene eliminato, verrà rimosso solo PE6.
- Se AFD-Profile-4 viene eliminato, verrà rimosso solo PE7.
- Se AFD-Profile-5 viene eliminato, verrà rimosso solo PE8.
Disponibilità a livello di area
Il collegamento privato di Frontdoor di Azure è disponibile nelle aree seguenti:
America | Europa | Africa | Asia Pacifico |
---|---|---|---|
Brasile meridionale | Francia centrale | Sudafrica settentrionale | Australia orientale |
Canada centrale | Germania centro-occidentale | India centrale | |
Stati Uniti centrali | Europa settentrionale | Giappone orientale | |
Stati Uniti orientali | Norvegia orientale | Corea centrale | |
Stati Uniti orientali 2 | Regno Unito meridionale | Asia orientale | |
Stati Uniti centro-meridionali | Europa occidentale | ||
Stati Uniti occidentali 3 | Svezia centrale | ||
US Gov Arizona | |||
US Gov Texas |
Limiti
Il supporto dell'origine per la connettività diretta degli endpoint privati è attualmente limitato a:
- Archiviazione BLOB
- App Web
- Servizi di bilanciamento del carico interni o servizi che espongono servizi di bilanciamento del carico interni, ad esempio servizio Azure Kubernetes, app contenitore di Azure o Azure Red Hat OpenShift
- sito Web statico Archiviazione
La funzionalità frontdoor di Azure collegamento privato è indipendente dall'area, ma per la migliore latenza è consigliabile scegliere sempre un'area di Azure più vicina all'origine quando si sceglie di abilitare l'endpoint di Frontdoor di Azure collegamento privato.
Passaggi successivi
- Informazioni su come connettere Frontdoor di Azure Premium a un'origine di app Web con collegamento privato.
- Informazioni su come connettere Frontdoor di Azure Premium a un'origine dell'account di archiviazione con collegamento privato.
- Informazioni su come connettere Frontdoor di Azure Premium a un'origine del servizio di bilanciamento del carico interno con collegamento privato.
- Informazioni su come connettere Frontdoor di Azure Premium a un'origine del sito Web statico di archiviazione con collegamento privato.