Proteja sua origem com o Private Link no Azure Front Door Premium
O Azure Private Link permite que você acesse os serviços PaaS do Azure e os serviços hospedados no Azure em um ponto de extremidade privado em sua rede virtual. O tráfego entre a sua rede virtual e o serviço passa pela rede de backbone da Microsoft, eliminando a exposição à Internet pública.
O Azure Front Door Premium pode se conectar à sua origem usando o Private Link. Sua origem pode ser hospedada em uma rede virtual ou hospedada como um serviço PaaS, como o Aplicativo Web do Azure ou o Armazenamento do Azure. O Private Link elimina a necessidade de a sua origem ser acedida publicamente.
Como funciona o Private Link
Quando você habilita o Private Link para sua origem no Azure Front Door Premium, o Front Door cria um ponto de extremidade privado em seu nome a partir de uma rede privada regional gerenciada pelo Azure Front Door. Você receberá uma solicitação de ponto de extremidade privado do Azure Front Door na origem aguardando sua aprovação.
Importante
Você deve aprovar a conexão de ponto de extremidade privado antes que o tráfego possa passar para a origem de forma privada. Você pode aprovar conexões de ponto de extremidade privado usando o portal do Azure, a CLI do Azure ou o Azure PowerShell. Para obter mais informações, consulte Gerenciar uma conexão de ponto de extremidade privado.
Depois de habilitar uma origem para Private Link e aprovar a conexão de ponto de extremidade privado, pode levar alguns minutos para que a conexão seja estabelecida. Durante esse período, as solicitações para a origem receberão uma mensagem de erro do Azure Front Door. A mensagem de erro desaparecerá assim que a conexão for estabelecida.
Depois que sua solicitação for aprovada, um endereço IP privado será atribuído da rede virtual gerenciada pelo Azure Front Door. O tráfego entre a sua Porta de Entrada do Azure e a sua origem comunicará utilizando a ligação privada estabelecida através da rede de backbone da Microsoft. O tráfego de entrada para sua origem agora está protegido ao chegar à sua Porta da Frente do Azure.
Associação de um ponto de extremidade privado com um perfil do Azure Front Door
Criação de ponto final privado
Dentro de um único perfil do Azure Front Door, se duas ou mais origens habilitadas para Link Privado forem criadas com o mesmo conjunto de Link Privado, ID de recurso e ID de grupo, para todas essas origens apenas um ponto de extremidade privado será criado. As conexões com o back-end podem ser habilitadas usando esse ponto de extremidade privado. Essa configuração significa que você só precisa aprovar o ponto de extremidade privado uma vez porque apenas um ponto de extremidade privado é criado. Se você criar mais origens habilitadas para Link Privado usando o mesmo conjunto de local de Link Privado, ID de recurso e ID de grupo, não precisará mais aprovar pontos de extremidade privados.
Ponto de extremidade privado único
Por exemplo, um único ponto de extremidade privado é criado para todas as origens diferentes em grupos de origem diferentes, mas no mesmo perfil da Porta da Frente do Azure, conforme mostrado na tabela abaixo:
Vários endpoints privados
Um novo ponto de extremidade privado é criado no seguinte cenário:
Se a região, o ID do recurso ou o ID do grupo forem alterados:
Nota
O local do Link Privado e o nome do host foram alterados, resultando em pontos de extremidade privados extras criados e requer aprovação para cada um.
Quando o perfil da Porta da Frente do Azure é alterado:
Nota
Habilitar o Private Link para origens em diferentes perfis de Front Door criará pontos de extremidade privados extras e requer aprovação para cada um.
Remoção de ponto final privado
Quando um perfil do Azure Front Door é excluído, os pontos de extremidade privados associados ao perfil também serão excluídos.
Ponto de extremidade privado único
Se AFD-Profile-1 for excluído, o ponto de extremidade privado PE1 em todas as origens também será excluído.
Vários endpoints privados
Se AFD-Profile-1 for excluído, todos os pontos de extremidade privados de PE1 até PE4 serão excluídos.
A exclusão de um perfil de porta frontal não afetará os pontos de extremidade privados criados para um perfil de porta frontal diferente.
Por exemplo:
- Se AFD-Profile-2 for excluído, somente o PE5 será removido.
- Se o AFD-Profile-3 for eliminado, apenas o PE6 será removido.
- Se o AFD-Profile-4 for eliminado, apenas o PE7 será removido.
- Se o AFD-Profile-5 for eliminado, apenas o PE8 será removido.
Disponibilidade da região
O link privado do Azure Front Door está disponível nas seguintes regiões:
| Américas | Europa | África | Ásia-Pacífico |
|---|---|---|---|
| Sul do Brasil | França Central | Norte da África do Sul | Leste da Austrália |
| Canadá Central | Alemanha Centro-Oeste | Índia Central | |
| E.U.A. Central | Europa do Norte | Leste do Japão | |
| E.U.A. Leste | Leste da Noruega | Coreia do Sul Central | |
| E.U.A. Leste 2 | Sul do Reino Unido | Ásia Leste | |
| E.U.A. Centro-Sul | Europa Ocidental | ||
| EUA Oeste 3 | Suécia Central | ||
| US Gov - Arizona | |||
| US Gov - Texas |
Limitações
O suporte do Origin para conectividade direta de ponto final privado está atualmente limitado a:
- Armazenamento de Blobs
- Aplicação Web
- Balanceadores de carga internos ou quaisquer serviços que exponham balanceadores de carga internos, como o Serviço Kubernetes do Azure, os Aplicativos de Contêiner do Azure ou o Red Hat OpenShift do Azure
- Site estático de armazenamento
O recurso Azure Front Door Private Link é independente de região, mas para obter a melhor latência, você sempre deve escolher uma região do Azure mais próxima de sua origem ao optar por habilitar o ponto de extremidade do Azure Front Door Private Link.
Próximos passos
- Saiba como conectar o Azure Front Door Premium a uma origem de Aplicativo Web com o Private Link.
- Saiba como conectar o Azure Front Door Premium a uma origem de conta de armazenamento com o Private Link.
- Saiba como conectar o Azure Front Door Premium a uma origem de balanceador de carga interno com o Private Link.
- Saiba como conectar o Azure Front Door Premium a uma origem de site estático de armazenamento com o Private Link.