Uw oorsprong beveiligen met Private Link in Azure Front Door Premium
Met Azure Private Link hebt u toegang tot Azure PaaS-services en -services die worden gehost in Azure via een privé-eindpunt in uw virtuele netwerk. Verkeer tussen uw virtuele netwerk en de service gaat via het Microsoft backbone-netwerk, waardoor blootstelling aan het openbare internet wordt geëlimineerd.
Azure Front Door Premium kan verbinding maken met uw oorsprong met behulp van Private Link. Uw oorsprong kan worden gehost in een virtueel netwerk of worden gehost als een PaaS-service, zoals Azure Web App of Azure Storage. Private Link verwijdert de noodzaak voor toegang tot uw origin openbaar.
Hoe Private Link werkt
Wanneer u Private Link inschakelt voor uw oorsprong in Azure Front Door Premium, maakt Front Door namens u een privé-eindpunt vanuit een beheerd regionaal privénetwerk van Azure Front Door. U ontvangt een azure Front Door-privé-eindpuntaanvraag bij de oorsprong in afwachting van uw goedkeuring.
Belangrijk
U moet de privé-eindpuntverbinding goedkeuren voordat verkeer privé aan de oorsprong kan worden doorgegeven. U kunt privé-eindpuntverbindingen goedkeuren met behulp van Azure Portal, Azure CLI of Azure PowerShell. Zie Een privé-eindpuntverbinding beheren voor meer informatie.
Nadat u een origin voor Private Link hebt ingeschakeld en de privé-eindpuntverbinding hebt goedgekeurd, kan het enkele minuten duren voordat de verbinding tot stand is gebracht. Gedurende deze tijd ontvangen aanvragen voor de oorsprong een Azure Front Door-foutbericht. Het foutbericht verdwijnt zodra de verbinding tot stand is gebracht.
Zodra uw aanvraag is goedgekeurd, wordt een privé-IP-adres toegewezen vanuit het beheerde virtuele netwerk van Azure Front Door. Verkeer tussen uw Azure Front Door en uw oorsprong communiceert via de tot stand gebrachte privékoppeling via het Microsoft backbone-netwerk. Binnenkomend verkeer naar uw oorsprong wordt nu beveiligd wanneer u bij uw Azure Front Door aankomt.
Koppeling van een privé-eindpunt met een Azure Front Door-profiel
Privé-eindpunt maken
Als binnen één Azure Front Door-profiel twee of meer origins met Private Link worden gemaakt met dezelfde set Private Link, resource-id en groeps-id, wordt voor al deze origins slechts één privé-eindpunt gemaakt. Verbinding maken ionen naar de back-end kunnen worden ingeschakeld met behulp van dit privé-eindpunt. Deze instelling betekent dat u het privé-eindpunt slechts één keer hoeft goed te keuren, omdat er slechts één privé-eindpunt wordt gemaakt. Als u meer origins met Private Link-functionaliteit maakt met dezelfde set Private Link-locatie, resource-id en groeps-id, hoeft u geen privé-eindpunten meer goed te keuren.
Eén privé-eindpunt
Er wordt bijvoorbeeld één privé-eindpunt gemaakt voor alle verschillende origins in verschillende oorsprongsgroepen, maar in hetzelfde Azure Front Door-profiel, zoals wordt weergegeven in de onderstaande tabel:
Meerdere privé-eindpunten
Er wordt een nieuw privé-eindpunt gemaakt in het volgende scenario:
Als de regio, resource-id of groeps-id wordt gewijzigd:
Notitie
De Private Link-locatie en de hostnaam zijn gewijzigd, wat resulteert in extra privé-eindpunten die zijn gemaakt en waarvoor goedkeuring is vereist voor elk eindpunt.
Wanneer het Azure Front Door-profiel wordt gewijzigd:
Notitie
Als u Private Link inschakelt voor origins in verschillende Front Door-profielen, worden extra privé-eindpunten gemaakt en is goedkeuring vereist voor elk eindpunt.
Privé-eindpunt verwijderen
Wanneer een Azure Front Door-profiel wordt verwijderd, worden privé-eindpunten die zijn gekoppeld aan het profiel ook verwijderd.
Eén privé-eindpunt
Als AFD-Profile-1 wordt verwijderd, wordt het PE1-privé-eindpunt voor alle oorsprongen ook verwijderd.
Meerdere privé-eindpunten
Als AFD-Profile-1 wordt verwijderd, worden alle privé-eindpunten van PE1 tot en met PE4 verwijderd.
Het verwijderen van een Front Door-profiel heeft geen invloed op privé-eindpunten die zijn gemaakt voor een ander Front Door-profiel.
Voorbeeld:
- Als AFD-Profile-2 wordt verwijderd, wordt alleen PE5 verwijderd.
- Als AFD-Profile-3 wordt verwijderd, wordt alleen PE6 verwijderd.
- Als AFD-Profile-4 wordt verwijderd, wordt alleen PE7 verwijderd.
- Als AFD-Profile-5 wordt verwijderd, wordt alleen PE8 verwijderd.
Regionale beschikbaarheid
Azure Front Door Private Link is beschikbaar in de volgende regio's:
| Noord- en Zuid-Amerika | Europa | Afrika | Azië en Stille Oceaan |
|---|---|---|---|
| Brazilië - zuid | Frankrijk - centraal | Zuid-Afrika - noord | Australië - oost |
| Canada - midden | Duitsland - west-centraal | India - centraal | |
| Central US | Europa - noord | Japan East | |
| VS - oost | Noorwegen - oost | Korea - centraal | |
| VS - oost 2 | Verenigd Koninkrijk Zuid | Azië - oost | |
| VS - zuid-centraal | Europa -west | ||
| US - west 3 | Zweden - centraal | ||
| US Gov - Arizona | |||
| US Gov - Texas |
Beperkingen
Ondersteuning voor oorsprong voor directe privé-eindpuntconnectiviteit is momenteel beperkt tot:
- Blob Storage
- Web App
- Interne load balancers of services die interne load balancers beschikbaar maken, zoals Azure Kubernetes Service, Azure Container Apps of Azure Red Hat OpenShift
- Statische opslagwebsite
Notitie
Deze functie wordt niet ondersteund met App Service-sites en -functies
De functie Azure Front Door Private Link is regioneutraal, maar voor de beste latentie moet u altijd een Azure-regio kiezen die het dichtst bij uw oorsprong ligt wanneer u azure Front Door Private Link-eindpunt wilt inschakelen.
Volgende stappen
- Meer informatie over het verbinden van Azure Front Door Premium met een web-app-oorsprong met Private Link.
- Meer informatie over het verbinden van Azure Front Door Premium met een origin van een opslagaccount met Private Link.
- Leer hoe u Azure Front Door Premium verbindt met een interne load balancer-oorsprong met Private Link.
- Meer informatie over het verbinden van Azure Front Door Premium met een statische opslagwebsite origin met Private Link.