Proteger a Origem com Private Link no Azure Front Door Premium

Azure Private Link permite-lhe aceder aos serviços e serviços PaaS do Azure alojados no Azure através de um ponto final privado na sua rede virtual. O tráfego entre a rede virtual e o serviço passa pela rede principal da Microsoft, eliminando a exposição à Internet pública.

O Azure Front Door Premium pode ligar-se à sua origem com Private Link. A sua origem pode ser alojada numa rede virtual ou alojada como um serviço PaaS, como o Serviço de Aplicações do Azure ou o Armazenamento do Azure. Private Link elimina a necessidade de aceder publicamente à sua origem.

Diagrama do Azure Front Door com Private Link ativado.

Quando ativa Private Link à sua origem no Azure Front Door Premium, o Front Door cria um ponto final privado em seu nome a partir de uma rede privada regional gerida pelo Azure Front Door. Receberá um pedido de ponto final privado do Azure Front Door na origem, enquanto aguarda a aprovação.

Importante

Tem de aprovar a ligação de ponto final privado para que o tráfego possa passar para a origem em privado. Pode aprovar ligações de ponto final privado com o portal do Azure, a CLI do Azure ou Azure PowerShell. Para obter mais informações, veja Gerir uma ligação de Ponto Final Privado.

Depois de ativar uma origem para Private Link e aprovar a ligação de ponto final privado, a ligação pode demorar alguns minutos a ser estabelecida. Durante este período, os pedidos à origem receberão uma mensagem de erro do Azure Front Door. A mensagem de erro desaparece assim que a ligação for estabelecida.

Assim que o pedido for aprovado, é atribuído um endereço IP privado a partir da rede virtual gerida do Azure Front Door. O tráfego entre o Azure Front Door e a sua origem irá comunicar através da ligação privada estabelecida através da rede principal da Microsoft. O tráfego de entrada para a sua origem está agora protegido ao chegar ao Azure Front Door.

Captura de ecrã a mostrar a caixa de verificação ativar Private Link serviço a partir da página de configuração de origem.

Associação de um ponto final privado com um perfil do Azure Front Door

Criação de pontos finais privados

Num único perfil do Azure Front Door, se duas ou mais origens ativadas Private Link forem criadas com o mesmo conjunto de Private Link, ID de recurso e ID de grupo, só é criado um ponto final privado para todas essas origens. As ligações ao back-end podem ser ativadas com este ponto final privado. Esta configuração significa que só tem de aprovar o ponto final privado uma vez porque só é criado um ponto final privado. Se criar mais Private Link origens ativadas com o mesmo conjunto de Private Link localização, ID de recurso e ID de grupo, deixará de ter de aprovar pontos finais privados.

Ponto final privado único

Por exemplo, é criado um único ponto final privado para todas as diferentes origens em diferentes grupos de origem, mas no mesmo perfil do Azure Front Door, conforme mostrado na tabela abaixo:

Diagrama a mostrar um único ponto final privado criado para origens criadas no mesmo perfil do Azure Front Door.

Vários pontos finais privados

É criado um novo ponto final privado no seguinte cenário:

  • Se a região, o ID do recurso ou o ID do grupo forem alterados:

    Diagrama a mostrar um ponto final privado múltiplo criado porque altera a região e o ID do recurso para a origem.

    Nota

    O Private Link localização e o nome do anfitrião foram alterados, o que resulta em pontos finais privados adicionais criados e requer aprovação para cada um deles.

  • Quando o perfil do Azure Front Door for alterado:

    Diagrama a mostrar um ponto final privado múltiplo criado porque a origem está associada a vários perfis do Azure Front Door.

    Nota

    Ativar Private Link para origens em diferentes perfis do Front Door irá criar pontos finais privados adicionais e requer aprovação para cada um deles.

Remoção de pontos finais privados

Quando um perfil do Azure Front Door é eliminado, os pontos finais privados associados ao perfil também serão eliminados.

Ponto final privado único

Se o AFD-Profile-1 for eliminado, o ponto final privado PE1 em todas as origens também será eliminado.

Diagrama a mostrar se AFD-Profile-1 for eliminado, PE1 em todas as origens será eliminado.

Vários pontos finais privados

  • Se o AFD-Profile-1 for eliminado, todos os pontos finais privados de PE1 a PE4 serão eliminados.

    Diagrama a mostrar se o AFD-Profile-1 for eliminado, todos os pontos finais privados de PE1 a PE4 são eliminados.

  • Eliminar um perfil do Front Door não afetará os pontos finais privados criados para um perfil do Front Door diferente.

    O diagrama que mostra o perfil do Azure Front Door a ser eliminado não afetará pontos finais privados noutros perfis do Front Door.

    Por exemplo:

    • Se o AFD-Profile-2 for eliminado, apenas PE5 será removido.
    • Se o AFD-Profile-3 for eliminado, apenas o PE6 será removido.
    • Se o AFD-Profile-4 for eliminado, apenas PE7 será removido.
    • Se o AFD-Profile-5 for eliminado, apenas PE8 será removido.

Disponibilidade de região

A ligação privada do Azure Front Door está disponível nas seguintes regiões:

América Europa África Ásia-Pacífico
Sul do Brasil França Central Norte da África do Sul Leste da Austrália
Canadá Central Alemanha Centro-Oeste Índia Central
E.U.A. Central Europa do Norte Leste do Japão
E.U.A. Leste Leste da Noruega Coreia do Sul Central
E.U.A. Leste 2 Sul do Reino Unido Ásia Leste
E.U.A. Centro-Sul Europa Ocidental
EUA Oeste 3 Suécia Central

Limitações

O suporte de origem para conectividade de ponto final privado direto está atualmente limitado a:

  • Armazenamento (Blobs do Azure)
  • Serviços Aplicacionais
  • Balanceadores de carga internos ou quaisquer serviços que exponham balanceadores de carga internos, como Azure Kubernetes Service, Azure Container Apps ou Azure Red Hat OpenShift
  • Site Estático de Armazenamento

A funcionalidade Private Link do Azure Front Door é agnóstica de região, mas, para obter a melhor latência, deve sempre escolher uma região do Azure mais próxima da sua origem ao optar por ativar o Azure Front Door Private Link ponto final.

Passos seguintes