Zabezpieczanie źródła za pomocą usługi Private Link w usłudze Azure Front Door Premium
Usługa Azure Private Link umożliwia dostęp do usług i usług PaaS platformy Azure hostowanych na platformie Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Ruch między siecią wirtualną a usługą przechodzi przez sieć szkieletową firmy Microsoft, eliminując narażenie na publiczny Internet.
Usługa Azure Front Door Premium może łączyć się ze swoim źródłem przy użyciu usługi Private Link. Źródło może być hostowane w sieci wirtualnej lub hostowane jako usługa PaaS, taka jak aplikacja internetowa platformy Azure lub usługa Azure Storage. Usługa Private Link usuwa publicznie dostęp do źródła.
Jak działa usługa Private Link
Po włączeniu usługi Private Link do źródła w usłudze Azure Front Door Premium usługa Front Door tworzy prywatny punkt końcowy w Twoim imieniu z zarządzanej regionalnej sieci prywatnej usługi Azure Front Door. Otrzymasz żądanie prywatnego punktu końcowego usługi Azure Front Door na początku oczekujące na zatwierdzenie.
Ważne
Aby ruch mógł zostać przekazany prywatnie do źródła, musisz zatwierdzić połączenie prywatnego punktu końcowego. Połączenia prywatnego punktu końcowego można zatwierdzać przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Aby uzyskać więcej informacji, zobacz Zarządzanie połączeniem prywatnego punktu końcowego.
Po włączeniu źródła dla usługi Private Link i zatwierdzeniu połączenia prywatnego punktu końcowego nawiązanie połączenia może potrwać kilka minut. W tym czasie żądania do źródła odbierają komunikat o błędzie usługi Azure Front Door. Komunikat o błędzie zniknie po nawiązaniu połączenia.
Po zatwierdzeniu żądania prywatny adres IP zostanie przypisany z zarządzanej sieci wirtualnej usługi Azure Front Door. Ruch między usługą Azure Front Door a źródłem komunikuje się przy użyciu ustanowionego łącza prywatnego za pośrednictwem sieci szkieletowej firmy Microsoft. Ruch przychodzący do źródła jest teraz zabezpieczony po przybyciu do usługi Azure Front Door.
Skojarzenie prywatnego punktu końcowego z profilem usługi Azure Front Door
Tworzenie prywatnego punktu końcowego
W ramach jednego profilu usługi Azure Front Door, jeśli co najmniej dwa źródła z włączoną obsługą usługi Private Link zostaną utworzone przy użyciu tego samego zestawu usługi Private Link, identyfikatora zasobu i identyfikatora grupy, wówczas dla wszystkich takich źródeł zostanie utworzony tylko jeden prywatny punkt końcowy. Połączenia z zapleczem można włączyć przy użyciu tego prywatnego punktu końcowego. Ta konfiguracja oznacza, że musisz zatwierdzić prywatny punkt końcowy tylko raz, ponieważ zostanie utworzony tylko jeden prywatny punkt końcowy. Jeśli tworzysz więcej źródeł z włączoną usługą Private Link przy użyciu tego samego zestawu lokalizacji usługi Private Link, identyfikatora zasobu i identyfikatora grupy, nie musisz już zatwierdzać prywatnych punktów końcowych.
Pojedynczy prywatny punkt końcowy
Na przykład pojedynczy prywatny punkt końcowy jest tworzony dla wszystkich różnych źródeł w różnych grupach pochodzenia, ale w tym samym profilu usługi Azure Front Door, jak pokazano w poniższej tabeli:
Wiele prywatnych punktów końcowych
Nowy prywatny punkt końcowy zostanie utworzony w następującym scenariuszu:
Jeśli region, identyfikator zasobu lub identyfikator grupy zmieni się:
Uwaga
Lokalizacja usługi Private Link i nazwa hosta uległy zmianie, co powoduje utworzenie dodatkowych prywatnych punktów końcowych i wymaga zatwierdzenia dla każdego z nich.
Gdy profil usługi Azure Front Door ulegnie zmianie:
Uwaga
Włączenie usługi Private Link dla źródeł w różnych profilach usługi Front Door spowoduje utworzenie dodatkowych prywatnych punktów końcowych i wymaga zatwierdzenia dla każdego z nich.
Usuwanie prywatnego punktu końcowego
Po usunięciu profilu usługi Azure Front Door prywatne punkty końcowe skojarzone z profilem również zostaną usunięte.
Pojedynczy prywatny punkt końcowy
Jeśli profil AFD-Profile-1 zostanie usunięty, prywatny punkt końcowy PE1 we wszystkich źródłach również zostanie usunięty.
Wiele prywatnych punktów końcowych
Jeśli profil AFD-Profile-1 zostanie usunięty, wszystkie prywatne punkty końcowe z PE1 do PE4 zostaną usunięte.
Usunięcie profilu usługi Azure Front Door nie ma wpływu na prywatne punkty końcowe utworzone dla innego profilu usługi Front Door.
Na przykład:
- Jeśli profil AFD-Profile-2 zostanie usunięty, tylko PE5 zostanie usunięty.
- Jeśli profil AFD-Profile-3 zostanie usunięty, zostanie usunięty tylko PE6.
- Jeśli profil AFD-Profile-4 zostanie usunięty, tylko PE7 zostanie usunięty.
- Jeśli profil AFD-Profile-5 zostanie usunięty, tylko PE8 zostanie usunięty.
Dostępność w regionach
Link prywatny usługi Azure Front Door jest dostępny w następujących regionach:
| Ameryka Północna i Południowa | Europa | Afryka | Azja i Pacyfik |
|---|---|---|---|
| Brazylia Południowa | Francja Środkowa | Północna Republika Południowej Afryki | Australia Wschodnia |
| Kanada Środkowa | Niemcy Środkowo-Zachodnie | Indie Środkowe | |
| Central US | Europa Północna | Japonia Wschodnia | |
| Wschodnie stany USA | Norwegia Wschodnia | Korea Środkowa | |
| Wschodnie stany USA 2 | Południowe Zjednoczone Królestwo | Azja Wschodnia | |
| South Central US | West Europe | ||
| Zachodnie stany USA 3 | Szwecja Środkowa | ||
| US Gov Arizona | |||
| US Gov Teksas | |||
| US Gov Wirginia |
Ograniczenia
Obsługa źródła dla bezpośredniej łączności prywatnego punktu końcowego jest obecnie ograniczona do:
- Blob Storage
- Aplikacja internetowa
- Wewnętrzne moduły równoważenia obciążenia lub wszystkie usługi, które uwidaczniają wewnętrzne moduły równoważenia obciążenia, takie jak Azure Kubernetes Service, Azure Container Apps lub Azure Red Hat OpenShift
- Statyczna witryna internetowa magazynu
- Application Gateway (wersja zapoznawcza tylko w programie PowerShell i interfejsie wiersza polecenia. Nie używaj w środowiskach produkcyjnych)
- API Management (wersja zapoznawcza tylko w programie PowerShell i interfejsie wiersza polecenia. Nie używaj w środowiskach produkcyjnych)
Uwaga
- Ta funkcja nie jest obsługiwana w przypadku funkcji aplikacja systemu Azure Service Slots lub Functions.
- integracja usługi aplikacja systemu Azure Gateway i APIM Management nie jest obecnie obsługiwana przy użyciu witryny Azure Portal.
Funkcja usługi Azure Front Door Private Link jest niezależna od regionu, ale w celu uzyskania najlepszego opóźnienia należy zawsze wybrać region świadczenia usługi Azure najbliżej źródła, wybierając opcję włączenia punktu końcowego usługi Azure Front Door Private Link.
Następne kroki
- Dowiedz się, jak połączyć usługę Azure Front Door Premium z źródłem aplikacji internetowej za pomocą usługi Private Link.
- Dowiedz się, jak połączyć usługę Azure Front Door Premium z źródłem konta magazynu za pomocą usługi Private Link.
- Dowiedz się, jak połączyć usługę Azure Front Door Premium z wewnętrznym źródłem modułu równoważenia obciążenia za pomocą usługi Private Link.
- Dowiedz się, jak połączyć usługę Azure Front Door Premium z magazynem ze statyczną witryną internetową za pomocą usługi Private Link.
- Dowiedz się, jak połączyć usługę Azure Front Door Premium z źródłem bramy aplikacji za pomocą usługi Private Link.
- Dowiedz się, jak połączyć usługę Azure Front Door Premium z źródłem usługi API Management przy użyciu usługi Private Link