Zabezpieczanie źródła za pomocą usługi Private Link w usłudze Azure Front Door Premium

  • Artykuł

Usługa Azure Private Link umożliwia dostęp do usług i usług PaaS platformy Azure hostowanych na platformie Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Ruch między siecią wirtualną a usługą przechodzi przez sieć szkieletową firmy Microsoft, eliminując narażenie na publiczny Internet.

Usługa Azure Front Door Premium może łączyć się ze swoim źródłem przy użyciu usługi Private Link. Źródło może być hostowane w sieci wirtualnej lub hostowane jako usługa PaaS, taka jak aplikacja internetowa platformy Azure lub usługa Azure Storage. Usługa Private Link usuwa publicznie dostęp do źródła.

Diagram of Azure Front Door with Private Link enabled.

Po włączeniu usługi Private Link do źródła w usłudze Azure Front Door Premium usługa Front Door tworzy prywatny punkt końcowy w Twoim imieniu z zarządzanej regionalnej sieci prywatnej usługi Azure Front Door. Otrzymasz żądanie prywatnego punktu końcowego usługi Azure Front Door na początku oczekujące na zatwierdzenie.

Ważne

Aby ruch mógł zostać przekazany prywatnie do źródła, musisz zatwierdzić połączenie prywatnego punktu końcowego. Połączenia prywatnego punktu końcowego można zatwierdzać przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Aby uzyskać więcej informacji, zobacz Zarządzanie połączeniem prywatnego punktu końcowego.

Po włączeniu źródła dla usługi Private Link i zatwierdzeniu połączenia prywatnego punktu końcowego nawiązanie połączenia może potrwać kilka minut. W tym czasie żądania do źródła otrzymają komunikat o błędzie usługi Azure Front Door. Komunikat o błędzie zniknie po nawiązaniu połączenia.

Po zatwierdzeniu żądania prywatny adres IP zostanie przypisany z zarządzanej sieci wirtualnej usługi Azure Front Door. Ruch między usługą Azure Front Door a źródłem będzie komunikować się przy użyciu ustanowionego łącza prywatnego za pośrednictwem sieci szkieletowej firmy Microsoft. Ruch przychodzący do źródła jest teraz zabezpieczony po przybyciu do usługi Azure Front Door.

Screenshot of enable Private Link service checkbox from origin configuration page.

Skojarzenie prywatnego punktu końcowego z profilem usługi Azure Front Door

Tworzenie prywatnego punktu końcowego

W ramach jednego profilu usługi Azure Front Door, jeśli co najmniej dwa źródła z włączoną obsługą usługi Private Link zostaną utworzone przy użyciu tego samego zestawu usługi Private Link, identyfikatora zasobu i identyfikatora grupy, wówczas dla wszystkich takich źródeł zostanie utworzony tylko jeden prywatny punkt końcowy. Połączenie do zaplecza można włączyć przy użyciu tego prywatnego punktu końcowego. Ta konfiguracja oznacza, że musisz zatwierdzić prywatny punkt końcowy tylko raz, ponieważ zostanie utworzony tylko jeden prywatny punkt końcowy. Jeśli utworzysz więcej źródeł z włączoną usługą Private Link przy użyciu tego samego zestawu lokalizacji usługi Private Link, identyfikatora zasobu i identyfikatora grupy, nie musisz już zatwierdzać prywatnych punktów końcowych.

Pojedynczy prywatny punkt końcowy

Na przykład pojedynczy prywatny punkt końcowy jest tworzony dla wszystkich różnych źródeł w różnych grupach pochodzenia, ale w tym samym profilu usługi Azure Front Door, jak pokazano w poniższej tabeli:

Diagram showing a single private endpoint created for origins created in the same Azure Front Door profile.

Wiele prywatnych punktów końcowych

Nowy prywatny punkt końcowy zostanie utworzony w następującym scenariuszu:

  • Jeśli region, identyfikator zasobu lub identyfikator grupy zmieni się:

    Diagram showing a multiple private endpoint created because changes in the region and resource ID for the origin.

    Uwaga

    Lokalizacja usługi Private Link i nazwa hosta uległy zmianie, co powoduje utworzenie dodatkowych prywatnych punktów końcowych i wymaga zatwierdzenia dla każdego z nich.

  • Gdy profil usługi Azure Front Door ulegnie zmianie:

    Diagram showing a multiple private endpoint created because the origin is associated with multiple Azure Front Door profiles.

    Uwaga

    Włączenie usługi Private Link dla źródeł w różnych profilach usługi Front Door spowoduje utworzenie dodatkowych prywatnych punktów końcowych i wymaga zatwierdzenia dla każdego z nich.

Usuwanie prywatnego punktu końcowego

Po usunięciu profilu usługi Azure Front Door prywatne punkty końcowe skojarzone z profilem również zostaną usunięte.

Pojedynczy prywatny punkt końcowy

Jeśli profil-AFD-1 zostanie usunięty, prywatny punkt końcowy PE1 we wszystkich źródłach również zostanie usunięty.

Diagram showing if AFD-Profile-1 gets deleted then PE1 across all origins will get deleted.

Wiele prywatnych punktów końcowych

  • Jeśli profil AFD-Profile-1 zostanie usunięty, wszystkie prywatne punkty końcowe z PE1 do PE4 zostaną usunięte.

    Diagram showing if AFD-Profile-1 gets deleted, all private endpoints from PE1 through PE4 gets deleted.

  • Usunięcie profilu usługi Front Door nie wpłynie na prywatne punkty końcowe utworzone dla innego profilu usługi Front Door.

    Diagram showing Azure Front Door profile getting deleted won't affect private endpoints in other Front Door profiles.

    Przykład:

    • Jeśli profil AFD-Profile-2 zostanie usunięty, tylko PE5 zostanie usunięty.
    • Jeśli profil AFD-Profile-3 zostanie usunięty, tylko PE6 zostanie usunięty.
    • Jeśli profil AFD-Profile-4 zostanie usunięty, tylko PE7 zostanie usunięty.
    • Jeśli profil AFD-Profile-5 zostanie usunięty, tylko PE8 zostanie usunięty.

Dostępność w regionach

Link prywatny usługi Azure Front Door jest dostępny w następujących regionach:

Ameryka Północna i Południowa Europa Afryka Azja i Pacyfik
Brazylia Południowa Francja Środkowa Północna Republika Południowej Afryki Australia Wschodnia
Kanada Środkowa Niemcy Środkowo-Zachodnie Indie Środkowe
Central US Europa Północna Japonia Wschodnia
East US Norwegia Wschodnia Korea Środkowa
Wschodnie stany USA 2 Południowe Zjednoczone Królestwo Azja Wschodnia
South Central US West Europe
Zachodnie stany USA 3 Szwecja Środkowa
US Gov Arizona
US Gov Teksas

Ograniczenia

Obsługa źródła dla bezpośredniej łączności prywatnego punktu końcowego jest obecnie ograniczona do:

  • Blob Storage
  • Aplikacja internetowa
  • Wewnętrzne moduły równoważenia obciążenia lub wszystkie usługi, które uwidaczniają wewnętrzne moduły równoważenia obciążenia, takie jak Azure Kubernetes Service, Azure Container Apps lub Azure Red Hat OpenShift
  • Statyczna witryna internetowa magazynu

Funkcja usługi Azure Front Door Private Link jest niezależna od regionu, ale w celu uzyskania najlepszego opóźnienia należy zawsze wybrać region świadczenia usługi Azure najbliżej źródła, wybierając opcję włączenia punktu końcowego usługi Azure Front Door Private Link.

Następne kroki