Conectar o Azure Front Door Premium a um Gateway de Aplicativo do Azure com Link Privado (Visualização)
Este artigo orienta você pelas etapas para configurar um Azure Front Door Premium para se conectar de forma privada ao seu Gateway de Aplicativo do Azure usando o Azure Private Link.
Pré-requisitos
Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
Azure PowerShell instalado localmente ou Azure Cloud Shell.
Nota
Recomendamos que utilize o módulo Azure Az do PowerShell para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.
Azure Cloud Shell
O Azure aloja o Azure Cloud Shell, um ambiente de shell interativo que pode utilizar através do seu browser. Pode utilizar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.
Para iniciar o Azure Cloud Shell:
Opção | Exemplo/Ligação |
---|---|
Selecione Experimentar no canto superior direito de um código ou bloco de comandos. Selecionar Experimentar não copia automaticamente o código ou comando para o Cloud Shell. | |
Aceda a https://shell.azure.com ou selecione o botão Iniciar Cloud Shell para abrir o Cloud Shell no browser. | |
Selecione o botão Cloud Shell na barra de menus, na parte direita do portal do Azure. |
Para usar o Azure Cloud Shell:
Inicie o Cloud Shell.
Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou comando.
Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.
Selecione Enter para executar o código ou comando.
Tenha um perfil Azure Front Door Premium funcional e um ponto de extremidade. Para obter mais informações sobre como criar um perfil do Azure Front Door, consulte Criar um Front Door - PowerShell.
Ter um Gateway de Aplicativo do Azure em funcionamento. Para obter mais informações sobre como criar um Gateway de Aplicativo, consulte Direcionar o tráfego da Web com o Gateway de Aplicativo do Azure usando o Azure PowerShell
Habilitar a conectividade privada com o Gateway de Aplicativo do Azure
Siga as instruções em Configurar Link Privado do Gateway de Aplicativo do Azure, mas não conclua a etapa final da criação de um ponto de extremidade privado.
Criar um grupo de origem e adicionar o gateway de aplicativo como origem
Use New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject para criar um objeto na memória para armazenar as configurações da sonda de integridade.
$healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject ` -ProbeIntervalInSecond 60 ` -ProbePath "/" ` -ProbeRequestType GET ` -ProbeProtocol Http
Use New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject para criar um objeto na memória para armazenar configurações de balanceamento de carga.
$loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject ` -AdditionalLatencyInMillisecond 50 ` -SampleSize 4 ` -SuccessfulSamplesRequired 3
Execute New-AzFrontDoorCdnOriginGroup para criar um grupo de origem que contenha seu gateway de aplicativo.
$origingroup = New-AzFrontDoorCdnOriginGroup ` -OriginGroupName myOriginGroup ` -ProfileName myFrontDoorProfile ` -ResourceGroupName myResourceGroup ` -HealthProbeSetting $healthProbeSetting ` -LoadBalancingSetting $loadBalancingSetting
Obtenha o nome de configuração IP frontend do Application Gateway com o comando Get-AzApplicationGatewayFrontendIPConfig .
$AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $AppGw $FrontEndIPs.name
Use o comando New-AzFrontDoorCdnOrigin para adicionar seu gateway de aplicativo ao grupo de origem.
New-AzFrontDoorCdnOrigin ` -OriginGroupName myOriginGroup ` -OriginName myAppGatewayOrigin ` -ProfileName myFrontDoorProfile ` -ResourceGroupName myResourceGroup ` -HostName 10.0.0.4 ` -HttpPort 80 ` -HttpsPort 443 ` -OriginHostHeader 10.0.0.4 ` -Priority 1 ` -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` -Weight 1000 `
Nota
SharedPrivateLinkResourceGroupId
é o nome da configuração IP frontend do Gateway de Aplicativo do Azure.
Aprovar o ponto de extremidade privado
Execute Get-AzPrivateEndpointConnection para recuperar o nome da conexão do ponto de extremidade privado que precisa de aprovação.
Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
Execute Approve-AzPrivateEndpointConnection para aprovar os detalhes da conexão do ponto de extremidade privado. Use o valor Name da saída na etapa anterior para aprovar a conexão.
Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
Configuração completa do Azure Front Door
Use o comando New-AzFrontDoorCdnRoute para criar uma rota que mapeie seu ponto de extremidade para o grupo de origem. Essa rota encaminha solicitações do ponto de extremidade para seu grupo de origem.
# Create a route to map the endpoint to the origin group
$Route = New-AzFrontDoorCdnRoute `
-EndpointName myFrontDoorEndpoint `
-Name myRoute `
-ProfileName myFrontDoorProfile `
-ResourceGroupName myResourceGroup `
-ForwardingProtocol MatchRequest `
-HttpsRedirect Enabled `
-LinkToDefaultDomain Enabled `
-OriginGroupId $origingroup.Id `
-SupportedProtocol Http,Https
Seu perfil do Azure Front Door agora está totalmente funcional depois de concluir a etapa final.
Pré-requisitos
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.
Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.
Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.
Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.
Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
Um perfil e ponto de extremidade do Azure Front Door Premium em funcionamento. Consulte Criar uma porta frontal - CLI.
Um Gateway de Aplicativo do Azure em funcionamento. Consulte Tráfego Web direto com o Gateway de Aplicativo do Azure - CLI do Azure.
Habilitar a conectividade privada com o Gateway de Aplicativo do Azure
Siga as etapas em Configurar Link Privado do Gateway de Aplicativo do Azure, ignorando a última etapa de criação de um ponto de extremidade privado.
Criar um grupo de origem e adicionar o gateway de aplicativo como origem
Execute az afd origin-group create para criar um grupo de origem.
az afd origin-group create \ --resource-group myResourceGroup \ --origin-group-name myOriginGroup \ --profile-name myFrontDoorProfile \ --probe-request-type GET \ --probe-protocol Http \ --probe-interval-in-seconds 60 \ --probe-path / \ --sample-size 4 \ --successful-samples-required 3 \ --additional-latency-in-milliseconds 50
Execute az network application-gaeay frontend-ip list para obter o nome de configuração IP do frontend do Application Gateway.
az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup
Execute az afd origin create para adicionar um gateway de aplicativo como uma origem ao grupo de origem.
az afd origin create \ --enabled-state Enabled \ --resource-group myResourceGroup \ --origin-group-name myOriginGroup \ --origin-name myAppGatewayOrigin \ --profile-name myFrontDoorProfile \ --host-name 10.0.0.4 \ --origin-host-header 10.0.0.4 \ --http-port 80 \ --https-port 443 \ --priority 1 \ --weight 500 \ --enable-private-link true \ --private-link-location centralus \ --private-link-request-message 'Azure Front Door private connectivity request.' \ --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \ --private-link-sub-resource-type myAppGatewayFrontendIPName
Nota
private-link-sub-resource-type
é o nome de configuração IP frontend do Gateway de Aplicativo do Azure.
Aprovar a conexão de ponto de extremidade privado
Execute az network private-endpoint-connection list para obter a id da conexão de ponto de extremidade privada que precisa de aprovação.
az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways
Execute az network private-endpoint-connection approve para aprovar a conexão de ponto de extremidade privado usando a id da etapa anterior.
az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
Configuração completa do Azure Front Door
Execute az afd route create para criar uma rota que mapeie seu ponto de extremidade para o grupo de origem. Essa rota encaminha solicitações do ponto de extremidade para seu grupo de origem.
az afd route create \
--resource-group myResourceGroup \
--profile-name myFrontDoorProfile \
--endpoint-name myFrontDoorEndpoint \
--forwarding-protocol MatchRequest \
--route-name myRoute \
--https-redirect Enabled \
--origin-group myOriginGroup \
--supported-protocols Http Https \
--link-to-default-domain Enabled
Seu perfil do Azure Front Door agora está totalmente funcional depois de concluir a etapa final.
Erros comuns a evitar
A seguir estão erros comuns ao configurar uma origem do Gateway de Aplicativo do Azure com o Azure Private Link habilitado:
Configurar a origem da Porta da Frente do Azure antes de configurar o Azure Private Link no Gateway de Aplicativo do Azure.
Adicionar a origem do Gateway de Aplicativo do Azure com o Azure Private Link a um grupo de origem existente que contém origens públicas. O Azure Front Door não permite misturar origens públicas e privadas no mesmo grupo de origem.
- Fornecer um nome de configuração IP de front-end do Gateway de Aplicativo do Azure incorreto como o valor para
SharedPrivateLinkResourceGroupId
.
- Fornecer um nome de configuração IP de front-end do Gateway de Aplicativo do Azure incorreto como o valor para
private-link-sub-resource-type
.
Próximos passos
Saiba mais sobre o serviço Private Link com conta de armazenamento.