Compartilhar via


Proteja sua Origem com Link Privado no Azure Front Door Premium

Aplica-se a: ✔️ Front Door Premium

O Link Privado do Azure permite que você acesse os serviços de PaaS do Azure e os serviços hospedados no Azure em um ponto de extremidade privado na sua rede virtual. O tráfego entre a rede virtual e o serviço passa pela rede de backbone da Microsoft, eliminando a exposição à Internet pública.

O Azure Front Door Premium pode se conectar à sua origem por meio do Link Privado. Sua origem pode ser hospedada em uma rede virtual ou hospedada como um serviço PaaS, como o Aplicativo Web do Azure ou o Armazenamento do Microsoft Azure. O Link Privado remove a necessidade que a origem seja acessada publicamente.

Diagrama do Azure Front Door com Link Privado habilitado.

Quando você habilita o Link Privado para o seu ponto de origem no Azure Front Door Premium, o Front Door cria um ponto de extremidade privado em seu nome a partir de uma rede privada regional gerenciada pelo Azure Front Door. Você recebe uma solicitação do ponto de extremidade privado do Azure Front Door na origem pendente da sua aprovação.

É preciso aprovar a conexão do ponto de extremidade privado antes que o tráfego passe para a origem de modo privado. Você pode aprovar conexões do ponto de extremidade privado usando o portal do Azure, a CLI do Azure ou o Azure PowerShell. Para obter mais informações, consulte Gerenciar uma conexão de endpoint privado.

Após você habilitar uma origem para o Link Privado e aprovar a conexão do ponto de extremidade privado, poderá levar alguns minutos para que a conexão seja estabelecida. Durante esse tempo, as solicitações para a origem recebem uma mensagem de erro do Azure Front Door. A mensagem de erro desaparece depois que a conexão for estabelecida.

Depois que a solicitação for aprovada, um ponto de extremidade privado dedicado será atribuído para rotear seu tráfego da rede virtual gerenciada pelo Azure Front Door. O tráfego dos seus clientes chegará aos POPs Globais do Azure Front Door e será roteado pela rede principal da Microsoft até o cluster regional do AFD que hospeda a rede virtual gerenciada com o ponto de extremidade privado dedicado. Em seguida, o tráfego é roteado para sua origem por meio da plataforma de link privado pela rede de backbone da Microsoft. Assim, o tráfego recebido para sua origem é protegido assim que chega ao Azure Front Door.

Observação

  • Esse recurso dá suporte apenas à conectividade de link privado do seu AFD para sua origem. Não há suporte para conectividade privada do cliente com AFD.

Origens Suportadas

O suporte de origem para conectividade direta com ponto de extremidade privado está atualmente limitado aos tipos de origem abaixo.

Tipo de origem Documentação
Serviço de Aplicativo (Aplicativo Web, Aplicativo de Funções) Conectar o AFD a uma origem de Aplicativo Web/Aplicativo de Funções com Link Privado.
Armazenamento de Blobs Conectar o AFD a uma origem de conta de armazenamento com Link Privado.
Site Estático de Armazenamento Conectar o AFD a uma origem de site estático de armazenamento com Link Privado.
Balanceadores de carga internos ou quaisquer serviços que exponham balanceadores de carga internos, como o Serviço de Kubernetes do Azure ou o Red Hat OpenShift do Azure Conectar o AFD a uma origem de balanceador de carga interno com Link Privado.
Gerenciamento de API Conectar o AFD a uma origem do Gerenciamento de API com Link Privado.
Gateway de Aplicações Conectar o AFD a uma origem de gateway de aplicativo com Link Privado.
Aplicativos de Contêiner do Azure Conectar o AFD a uma origem de Aplicativos de Contêiner do Azure com Link Privado.

Observação

  • Este recurso não tem suporte em Slots do Serviço de Aplicativo do Azure e Aplicativo Web Estático do Azure.

Disponibilidade de região

O link privado do Azure Front Door está disponível nas seguintes regiões:

Américas Europa África Pacífico Asiático
Sul do Brasil França Central Norte da África do Sul Leste da Austrália
Canadá Central Centro-Oeste da Alemanha Índia Central
Centro dos EUA Norte da Europa Leste do Japão
Leste dos EUA Leste da Noruega Coreia Central
Leste dos EUA 2 Sul do Reino Unido Leste da Ásia
Centro-Sul dos Estados Unidos Europa Ocidental Sudeste da Ásia
Oeste dos EUA 2 Suécia Central
Oeste dos EUA 3
Governo dos EUA do Arizona
Governo dos EUA do Texas
Gov. dos EUA – Virgínia

O recurso Link Privado do Azure Front Door é independente de região, mas para obter a melhor latência, você deve escolher uma região do Azure mais próxima da origem ao habilitar o ponto de extremidade do Link Privado do Azure Front Door. Se não houver suporte para a região de sua origem na lista de regiões compatíveis com o Link Privado do AFD, escolha a próxima região mais próxima. Você pode usar estatísticas de latência de ida e volta da rede do Azure para determinar a próxima região mais próxima em termos de latência.

  • O Azure Front Door não permite a combinação de origens públicas e privadas no mesmo grupo de origem. Isso pode causar erros durante a configuração ou enquanto o AFD tenta enviar tráfego para as origens pública/privada. Mantenha todas as suas origens públicas em um único grupo de origem e mantenha todas as suas origens privadas em um grupo de origem diferente.
  • Melhorando a redundância:
    • Para melhorar a redundância no nível de origem, verifique se você tem várias origens habilitadas para link privado no mesmo grupo de origem para que o AFD possa distribuir o tráfego entre várias instâncias do aplicativo. Se uma instância não estiver disponível, outras origens ainda poderão receber tráfego.
    • Para rotear o tráfego de Link Privado, as solicitações são roteadas dos POPs do AFD para a rede virtual gerenciada pelo AFD hospedada em clusters regionais do AFD. Para ter redundância caso o cluster regional não seja acessível, é recomendável configurar várias origens (cada uma com uma região de Link Privado diferente) no mesmo grupo de origem AFD. Dessa forma, mesmo que um cluster regional não esteja disponível, outras origens ainda poderão receber tráfego por meio de um cluster regional diferente. Veja abaixo como seria um grupo de origem com redundância no nível de origem e no nível da região. Diagrama mostrando um grupo de origem com redundância de nível de origem e de nível de região.
  • Ao aprovar a conexão de ponto de extremidade privado ou depois de aprovar a conexão de ponto de extremidade privado, se você clicar duas vezes no ponto de extremidade privado, verá uma mensagem de erro dizendo "Você não tem acesso. Copie os detalhes do erro e envie-os para seus administradores para obter acesso a esta página." Isso é esperado porque o ponto de extremidade privado é hospedado em uma assinatura gerenciada pelo Azure Front Door.
  • Para proteção de plataforma, cada cluster regional do AFD tem um limite de 7.200 RPS (solicitações por segundo) por perfil AFD. Solicitações acima de 7.200 RPS serão limitadas por taxa com "429 Too Many Requests". Se você estiver em fase de integração ou esperando tráfego superior a 7.200 RPS, recomendamos implantar várias origens (cada uma com uma região de Link Privado diferente) para que o tráfego seja distribuído por vários clusters regionais do AFD. É recomendável que cada origem seja uma instância separada do seu aplicativo para melhorar a redundância no nível de origem. No entanto, se você não conseguir manter instâncias separadas, ainda poderá configurar várias origens no nível do AFD com cada origem apontando para o mesmo nome de host, mas as regiões serão mantidas diferentes. Dessa forma, o AFD roteará o tráfego para a mesma instância, mas por meio de clusters regionais diferentes.

Associação de um ponto de extremidade privado com um perfil do Azure Front Door

Criação do ponto de extremidade privado

Em um único perfil do Azure Front Door, se duas ou mais origens habilitadas para Link Privado forem criadas com o mesmo conjunto de ID de recurso, ID de grupo e região, para todas essas origens apenas um ponto de extremidade privado será criado. As conexões com o back-end podem ser ativadas usando este endereço privado. Essa configuração significa que você só precisa aprovar o ponto de extremidade privado uma vez porque apenas um ponto de extremidade privado é criado. Se você criar mais origens habilitadas para Link Privado usando o mesmo conjunto de localizações de Link Privado, ID de recurso e ID de grupo, não será necessário aprovar mais pontos de extremidade privados.

Ponto de extremidade privado único

Por exemplo, um ponto de extremidade privado único é criado para todas as diferentes origens em diferentes grupos de origem, mas no mesmo perfil do Azure Front Door, conforme mostrado na tabela a seguir:

Diagrama mostrando um único ponto de extremidade privado criado para origens criadas no mesmo perfil do Azure Front Door.

Pontos de extremidade privados múltiplos

Um novo ponto de extremidade privado é criado no seguinte cenário:

  • Se a região, a ID do recurso ou a ID do grupo forem alteradas, o AFD considerará que o local do Link Privado e o nome do host foram alterados, resultando em pontos de extremidade privados extras criados e cada um deles precisa ser aprovado.

    Diagrama mostrando um ponto de extremidade privado múltiplo criado devido a alterações na região e ID do recurso para a origem.

  • Habilitar o Link Privado para origens em perfis do Front Door diferentes criará pontos de extremidade privados extras e necessitará de aprovação para cada um deles.

    Diagrama mostrando um ponto de extremidade privado múltiplo criado porque a origem está associada a vários perfis do Azure Front Door.

Remoção de ponto de extremidade privado

Quando um perfil do Azure Front Door for excluído, os pontos de extremidade privados associados ao perfil também são excluídos.

Ponto de extremidade privado único

Se AFD-Profile-1 for excluído, o ponto de extremidade privado PE1 em todas as origens também é excluído.

Diagrama mostrando se AFD-Profile-1 for excluído, o PE1 em todas as origens será excluído.

Pontos de extremidade privados múltiplos

  • Se AFD-Profile-1 for excluído, todos os pontos de extremidade privados de PE1 a PE4 serão excluídos.

    Diagrama mostrando se AFD-Profile-1 for excluído, todos os pontos de extremidade privados de PE1 a PE4 serão excluídos.

  • A exclusão de um perfil do Azure Front Door não afeta os endpoints privados criados para um perfil diferente do Azure Front Door.

    Diagrama mostrando que a exclusão do perfil do Azure Front Door não afeta pontos de extremidade privados em outros perfis do Front Door.

    Por exemplo:

    • Se AFD-Profile-2 for excluído, somente PE5 será removido.
    • Se AFD-Profile-3 for excluído, somente PE6 será removido.
    • Se AFD-Profile-4 for excluído, somente PE7 será removido.
    • Se AFD-Profile-5 for excluído, somente PE8 será removido.

Próximas etapas