Proteggere l'origine con collegamento privato in Frontdoor di Azure Premium

collegamento privato di Azure consente di accedere ai servizi e ai servizi PaaS di Azure ospitati in Azure tramite un endpoint privato nella rete virtuale. Il traffico tra la rete virtuale e il servizio passa attraverso la rete backbone Microsoft, eliminando l'esposizione alla rete Internet pubblica.

Frontdoor di Azure Premium può connettersi all'origine usando collegamento privato. L'origine può essere ospitata in una rete virtuale o ospitata come servizio PaaS, ad esempio App Web di Azure o Archiviazione di Azure. collegamento privato rimuove la necessità di accedere pubblicamente all'origine.

Diagram of Azure Front Door with Private Link enabled.

Quando si abilita collegamento privato all'origine in Frontdoor di Azure Premium, Frontdoor crea un endpoint privato per conto di una rete privata dell'area gestita di Frontdoor di Azure. Si riceverà una richiesta di endpoint privato di Frontdoor di Azure all'origine in attesa dell'approvazione.

Importante

È necessario approvare la connessione all'endpoint privato prima che il traffico possa passare privatamente all'origine. È possibile approvare le connessioni all'endpoint privato usando le portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell. Per altre informazioni, vedere Gestire una connessione endpoint privato.

Dopo aver abilitato un'origine per collegamento privato e aver approvato la connessione all'endpoint privato, la connessione può richiedere alcuni minuti. Durante questo periodo, le richieste all'origine riceveranno un messaggio di errore di Frontdoor di Azure. Il messaggio di errore verrà eliminato una volta stabilita la connessione.

Dopo l'approvazione della richiesta, un indirizzo IP privato viene assegnato dalla rete virtuale gestita di Frontdoor di Azure. Il traffico tra Frontdoor di Azure e l'origine comunicherà usando il collegamento privato stabilito sulla rete backbone Microsoft. Il traffico in ingresso verso l'origine è ora protetto quando arriva alla frontdoor di Azure.

Screenshot of enable Private Link service checkbox from origin configuration page.

Associazione di un endpoint privato con un profilo frontdoor di Azure

Creazione di endpoint privati

All'interno di un singolo profilo frontdoor di Azure, se due o più origini abilitate collegamento privato vengono create con lo stesso set di collegamento privato, ID risorsa e ID gruppo, per tutte queste origini viene creato un solo endpoint privato. Connessione ioni al back-end possono essere abilitate usando questo endpoint privato. Questa configurazione significa che è necessario approvare l'endpoint privato una sola volta perché viene creato un solo endpoint privato. Se si creano più origini abilitate collegamento privato usando lo stesso set di collegamento privato posizione, ID risorsa e ID gruppo, non sarà più necessario approvare gli endpoint privati.

Singolo endpoint privato

Ad esempio, un singolo endpoint privato viene creato per tutte le origini diverse in gruppi di origine diversi, ma nello stesso profilo frontdoor di Azure, come illustrato nella tabella seguente:

Diagram showing a single private endpoint created for origins created in the same Azure Front Door profile.

Più endpoint privati

Un nuovo endpoint privato viene creato nello scenario seguente:

  • Se l'area, l'ID risorsa o l'ID gruppo cambia:

    Diagram showing a multiple private endpoint created because changes in the region and resource ID for the origin.

    Nota

    Il percorso collegamento privato e il nome host sono stati modificati, generando endpoint privati aggiuntivi creati e richiede l'approvazione per ognuno di essi.

  • Quando il profilo frontdoor di Azure cambia:

    Diagram showing a multiple private endpoint created because the origin is associated with multiple Azure Front Door profiles.

    Nota

    L'abilitazione di collegamento privato per le origini in diversi profili frontdoor creerà endpoint privati aggiuntivi e richiede l'approvazione per ognuno di essi.

Rimozione dell'endpoint privato

Quando un profilo frontdoor di Azure viene eliminato, verranno eliminati anche gli endpoint privati associati al profilo.

Singolo endpoint privato

Se AFD-Profile-1 viene eliminato, verrà eliminato anche l'endpoint privato PE1 in tutte le origini.

Diagram showing if AFD-Profile-1 gets deleted then PE1 across all origins will get deleted.

Più endpoint privati

  • Se AFD-Profile-1 viene eliminato, tutti gli endpoint privati da PE1 a PE4 verranno eliminati.

    Diagram showing if AFD-Profile-1 gets deleted, all private endpoints from PE1 through PE4 gets deleted.

  • L'eliminazione di un profilo frontdoor non influisce sugli endpoint privati creati per un profilo Frontdoor diverso.

    Diagram showing Azure Front Door profile getting deleted won't affect private endpoints in other Front Door profiles.

    Ad esempio:

    • Se AFD-Profile-2 viene eliminato, verrà rimosso solo PE5.
    • Se AFD-Profile-3 viene eliminato, verrà rimosso solo PE6.
    • Se AFD-Profile-4 viene eliminato, verrà rimosso solo PE7.
    • Se AFD-Profile-5 viene eliminato, verrà rimosso solo PE8.

Disponibilità a livello di area

Il collegamento privato di Frontdoor di Azure è disponibile nelle aree seguenti:

America Europa Africa Asia Pacifico
Brasile meridionale Francia centrale Sudafrica settentrionale Australia orientale
Canada centrale Germania centro-occidentale India centrale
Stati Uniti centrali Europa settentrionale Giappone orientale
Stati Uniti orientali Norvegia orientale Corea centrale
Stati Uniti orientali 2 Regno Unito meridionale Asia orientale
Stati Uniti centro-meridionali Europa occidentale
Stati Uniti occidentali 3 Svezia centrale
US Gov Arizona
US Gov Texas

Limiti

Il supporto dell'origine per la connettività diretta degli endpoint privati è attualmente limitato a:

  • Archiviazione BLOB
  • App Web
  • Servizi di bilanciamento del carico interni o servizi che espongono servizi di bilanciamento del carico interni, ad esempio servizio Azure Kubernetes, app contenitore di Azure o Azure Red Hat OpenShift
  • sito Web statico Archiviazione

La funzionalità frontdoor di Azure collegamento privato è indipendente dall'area, ma per la migliore latenza è consigliabile scegliere sempre un'area di Azure più vicina all'origine quando si sceglie di abilitare l'endpoint di Frontdoor di Azure collegamento privato.

Passaggi successivi