Azure Front Door Premium verbinden met een Azure Application Gateway via Private Link

Van toepassing op: ✔️ Front Door Premium

In dit artikel wordt u begeleid bij de stappen voor het configureren van een Azure Front Door Premium om privé verbinding te maken met uw Azure-toepassing Gateway met behulp van Azure Private Link.

Voorvereisten

• Een Azure-account met een actief abonnement. Gratis een account maken

• Een werkend Azure Front Door Premium-profiel en een eindpunt hebben. Zie Een Front Door-profiel maken voor meer informatie over het maken van een Azure Front Door-profiel.

• Een werkende Azure-toepassing-gateway hebben. Voor meer informatie over het maken van een Application Gateway, zie Webverkeer omleiden met Azure Application Gateway met behulp van Azure Portal.

Privéconnectiviteit inschakelen voor Azure-toepassing Gateway

1. Volg de instructies in Configure Azure-toepassing Gateway Private Link, maar voltooi niet de laatste stap voor het maken van een privé-eindpunt.
2. Ga naar het tabblad Overzicht van uw Application Gateway, noteer de naam van de resourcegroep en de abonnements-id
3. Ga op het tabblad Overzicht naar het virtuele netwerk van de Application Gateway.
4. Selecteer onder Instellingen de optie Verbonden apparaten
5. Noteer de naam van het apparaat met het type Private Link-service.
6. Bouw de resource-id van de private link-service met behulp van de waarden uit de vorige stappen. De indeling is "subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Network/privateLinkServices/{Private-link-service-name}. Deze Resource-ID wordt gebruikt tijdens het configureren van de Front Door-bron.

Een origin-groep maken en de toepassingsgateway toevoegen als oorsprong

1. Ga in uw Azure Front Door Premium-profiel naar Instellingen en selecteer Origin-groepen.

2. Klik op Toevoegen

3. Voer een naam in voor de oorspronkelijke groep

4. Selecteer + Een oorsprong toevoegen

5. Gebruik de volgende tabel om de instellingen voor de oorsprong te configureren:

   Configuratie	Waarde
   Naam	Voer een naam in om deze oorsprong te identificeren.
   Oorsprongstype	Op maat
   Hostnaam	Voer de hostnaam in van de listener van uw Application Gateway
   Originele hostheader	Voer de hostnaam in van de listener van uw Application Gateway
   HTTP-poort	80 (standaard)
   HTTPS-poort	443 (standaard)
   Prioriteit	Wijs verschillende prioriteiten toe aan oorsprongen voor primaire, secundaire en back-updoeleinden.
   Gewicht	1000 (standaard). Gebruik gewichten om verkeer over verschillende oorsprongen te verdelen.
   Privélink	Private Link-service inschakelen
   Een privékoppeling selecteren	Via ID of alias
   Id/alias	Voer de resource-id van de Private Link-service in die is verkregen tijdens het configureren van de Application Gateway.
   Regio	Selecteer de regio die overeenkomt met of zich het dichtst bij uw oorsprong bevindt.
   Bericht aanvragen	Voer een aangepast bericht in dat moet worden weergegeven tijdens het goedkeuren van het privé-eindpunt.

   

6. Selecteer Toevoegen om uw origin-instellingen op te slaan

7. Selecteer Toevoegen om de instellingen van de oorspronkelijke groep op te slaan.

Het privé-eindpunt goedkeuren

1. Navigeer in de vorige sectie naar de Toepassingsgateway die u hebt geconfigureerd met Private Link. Selecteer onder Instellingen de optie Privékoppeling.

2. Selecteer het tabblad Privé-eindpuntverbindingen .

3. Zoek de aanvraag voor een in behandeling zijnd privé-eindpunt van Azure Front Door Premium en selecteer Goedkeuren.

4. Na goedkeuring wordt de verbindingsstatus bijgewerkt. Het kan enkele minuten duren voordat de verbinding volledig tot stand is gebracht. Zodra dit is ingesteld, hebt u toegang tot uw Toepassingsgateway via Front Door. Directe toegang tot de Application Gateway vanaf het openbare internet wordt uitgeschakeld zodra het privé-eindpunt is ingeschakeld.

Voorvereisten

• Een Azure-account met een actief abonnement. Gratis een account maken

• Azure PowerShell lokaal geïnstalleerd of Azure Cloud Shell.

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Azure Cloud Shell

Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.

Om Azure Cloud Shell op te starten:

Optie	Voorbeeld/koppeling
Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell.
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen.
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal.

Azure Cloud Shell gebruiken:

1. Start Cloud Shell.

2. Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.

3. Plak de code of opdracht in de Cloud Shell-sessie door te drukken op Ctrl+Shift+V in Windows en Linux, of door te drukken op Cmd+Shift+V in macOS.

4. Selecteer Enter om de code of opdracht uit te voeren.

• Een werkend Azure Front Door Premium-profiel en een eindpunt hebben. Zie Een Front Door - PowerShell maken voor meer informatie over het maken van een Azure Front Door-profiel.

• Een werkende Azure-toepassing-gateway hebben. Zie Webverkeer omleiden met Azure-toepassing Gateway met behulp van Azure PowerShell voor meer informatie over het maken van een toepassingsgateway

Privéconnectiviteit inschakelen voor Azure-toepassing Gateway

Volg de instructies in Configure Azure-toepassing Gateway Private Link, maar voltooi niet de laatste stap voor het maken van een privé-eindpunt.

Een origin-groep maken en de toepassingsgateway toevoegen als oorsprong

1. Gebruik New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject om een in-memory object te maken voor het opslaan van de statustestinstellingen.

   $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
       -ProbeIntervalInSecond 60 `
       -ProbePath "/" `
       -ProbeRequestType GET `
       -ProbeProtocol Http
   

2. Gebruik New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject om een in-memory object te maken voor het opslaan van taakverdelingsinstellingen.

   $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
       -AdditionalLatencyInMillisecond 50 `
       -SampleSize 4 `
       -SuccessfulSamplesRequired 3
   

3. Voer New-AzFrontDoorCdnOriginGroup uit om een origin-groep te maken die uw toepassingsgateway bevat.

   $origingroup = New-AzFrontDoorCdnOriginGroup `
       -OriginGroupName myOriginGroup `
       -ProfileName myFrontDoorProfile `
       -ResourceGroupName myResourceGroup `
       -HealthProbeSetting $healthProbeSetting `
       -LoadBalancingSetting $loadBalancingSetting
   

4. Haal de front-end-IP-configuratienaam van de Toepassingsgateway op met de opdracht Get-AzApplicationGatewayFrontendIPConfig .

   $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
   $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
   $FrontEndIPs.name
   

5. Gebruik de opdracht New-AzFrontDoorCdnOrigin om uw toepassingsgateway toe te voegen aan de oorspronkelijke groep.

   New-AzFrontDoorCdnOrigin ` 
       -OriginGroupName myOriginGroup ` 
       -OriginName myAppGatewayOrigin ` 
       -ProfileName myFrontDoorProfile ` 
       -ResourceGroupName myResourceGroup ` 
       -HostName www.contoso.com ` 
       -HttpPort 80 ` 
       -HttpsPort 443 ` 
       -OriginHostHeader www.contoso.com ` 
       -Priority 1 ` 
       -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
       -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
       -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
       -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
       -Weight 1000 `
   

   Notitie

   SharedPrivateLinkResourceGroupIdis de naam van de front-end-IP-configuratie van de Azure-toepassing-gateway.

Het privé-eindpunt goedkeuren

1. Voer Get-AzPrivateEndpointConnection uit om de verbindingsnaam op te halen van de privé-eindpuntverbinding waarvoor goedkeuring is vereist.

   Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

2. Voer Approve-AzPrivateEndpointConnection uit om de verbindingsgegevens van het privé-eindpunt goed te keuren. Gebruik de waarde Naam uit de uitvoer in de vorige stap om de verbinding goed te keuren.

   Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

Azure Front Door instellen voltooien

Gebruik de opdracht New-AzFrontDoorCdnRoute om een route te maken waarmee uw eindpunt wordt toegewezen aan de oorspronkelijke groep. Met deze route worden aanvragen van het eindpunt doorgestuurd naar uw oorspronkelijke groep.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Uw Azure Front Door-profiel is nu volledig functioneel nadat u de laatste stap hebt voltooid.

Voorvereisten

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie Aan de slag met Azure Cloud Shell voor meer informatie.

  

• Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Zie Verifiëren bij Azure met behulp van Azure CLI voor andere aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Zie Extensies gebruiken en beheren met de Azure CLIvoor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

• Een Azure-account met een actief abonnement. Gratis een account maken

• Een functionerend Azure Front Door Premium-profiel en -eindpunt. Zie Een Front Door maken - CLI.

• Een functionerende Azure Application Gateway. Zie Direct webverkeer met Azure Application Gateway - Azure CLI.

Privéconnectiviteit inschakelen voor Azure-toepassing Gateway

Volg de stappen in Azure Application Gateway Private Link configureren en sla de laatste stap, het maken van een privé-eindpunt, over.

Een origin-groep maken en de toepassingsgateway toevoegen als oorsprong

1. Voer az afd origin-group create uit om een origin-groep te maken.

   az afd origin-group create \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --profile-name myFrontDoorProfile \
       --probe-request-type GET \
       --probe-protocol Http \
       --probe-interval-in-seconds 60 \
       --probe-path / \
       --sample-size 4 \
       --successful-samples-required 3 \
       --additional-latency-in-milliseconds 50
   

2. Voer az network application-gateway frontend-ip list uit om de front-end-IP-configuratienaam van de Application Gateway op te halen.

   az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup
   

3. Voer az afd origin create uit om een toepassingsgateway toe te voegen als een origin aan de origin-groep.

   az afd origin create \
       --enabled-state Enabled \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --origin-name myAppGatewayOrigin \
       --profile-name myFrontDoorProfile \
       --host-name www.contoso.com \
       --origin-host-header www.contoso.com \
       --http-port 80  \
       --https-port 443 \
       --priority 1 \
       --weight 500 \
       --enable-private-link true \
       --private-link-location centralus \
       --private-link-request-message 'Azure Front Door private connectivity request.' \
       --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
       --private-link-sub-resource-type myAppGatewayFrontendIPName
   

   Notitie

   private-link-sub-resource-typeis de naam van de front-end-IP-configuratie van de Azure-toepassing-gateway.

De privé-eindpuntverbinding goedkeuren

1. Voer az network private-endpoint-connection list uit om de id op te halen van de privé-eindpuntverbinding waarvoor goedkeuring is vereist.

   az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways
   

2. Voer az network private-endpoint-connection goedkeuren uit om de privé-eindpuntverbinding goed te keuren met behulp van de id uit de vorige stap.

   az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
   

Azure Front Door instellen voltooien

Voer az afd route create uit om een route te maken waarmee uw eindpunt wordt toegewezen aan de oorspronkelijke groep. Met deze route worden aanvragen van het eindpunt doorgestuurd naar uw oorspronkelijke groep.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

Uw Azure Front Door-profiel is nu volledig functioneel nadat u de laatste stap hebt voltooid.

Veelvoorkomende fouten om te voorkomen

Hier volgen veelvoorkomende fouten bij het configureren van een Azure Application Gateway-oorsprong met ingeschakelde Azure Private Link.

1. De Azure Front Door-bron configureren voordat u Azure Private Link configureert op de Azure Applicatie Gateway.

2. De oorsprong configureren met het oorsprongstype als 'Application Gateway' in plaats van 'Aangepast'. Wanneer u het oorsprongstype 'Application Gateway' kiest, wordt de hostnaam van de oorsprong automatisch ingevuld met het IP-adres van de Application Gateway. Dit kan leiden tot een 'CertificateNameValidation'-fout. Dit probleem kan worden vermeden in publieke bronnen door de validatie van de naam van het certificaatonderwerp uit te schakelen. Maar voor origins waarvoor private link is ingeschakeld, is validatie van certificaatonderwerpnaam verplicht.

3. Voeg de Azure Application Gateway-oorsprong met Azure Private Link toe aan een bestaande oorsprongsgroep die openbare origins bevat. Azure Front Door staat het combineren van openbare en privé-origins in dezelfde oorspronkelijke groep niet toe.

3. Het opgeven van een onjuiste Azure Application Gateway front-end IP-configuratienaam als waarde voor SharedPrivateLinkResourceGroupId.

3. Het opgeven van een onjuiste Azure Application Gateway front-end IP-configuratienaam als waarde voor private-link-sub-resource-type.

Volgende stappen

Meer informatie over de Private Link-service met een opslagaccount.