Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a: ✔️ Front Door Premium
O Azure Private Link permite-lhe aceder a serviços e serviços PaaS do Azure alojados no Azure através de um ponto de extremidade privado na sua rede virtual. O tráfego entre a sua rede virtual e o serviço passa pela rede de backbone da Microsoft, eliminando a exposição à Internet pública.
O Azure Front Door Premium pode conectar-se à sua origem usando o Private Link. Sua origem pode ser hospedada em uma rede virtual ou hospedada como um serviço PaaS, como o Azure Web App ou o Armazenamento do Azure. O Private Link elimina a necessidade de a sua origem ser acedida publicamente.
Como funciona o Private Link
Quando habilitas a Ligação Privada à tua origem no Azure Front Door Premium, o Front Door cria um ponto de extremidade privado em teu nome a partir de uma rede privada regional gerida pelo Azure Front Door. Você recebe uma solicitação de ponto de extremidade privado do Azure Front Door na origem aguardando a sua aprovação.
Você precisa aprovar a ligação ao endpoint privado antes que o tráfego possa passar para a origem de forma privada. Você pode aprovar conexões de pontos de extremidade privados no portal do Azure, na CLI do Azure ou no Azure PowerShell. Para obter mais informações, consulte Gerenciar uma conexão de ponto de extremidade privado.
Depois de ativar uma origem para o "Private Link" e aprovar a conexão de ponto final privado, pode levar alguns minutos para a conexão se estabelecer. Durante esse tempo, as solicitações para a origem recebem uma mensagem de erro do Azure Front Door. A mensagem de erro desaparece assim que a conexão é estabelecida.
Assim que a sua solicitação for aprovada, um endpoint privado dedicado é atribuído para encaminhar o seu tráfego a partir da rede virtual gerida pelo Azure Front Door. O tráfego de seus clientes chegará aos POPs globais do Azure Front Door e, em seguida, será roteado pela rede de backbone da Microsoft para o cluster regional AFD que hospeda a rede virtual gerenciada que contém o ponto de extremidade privado dedicado. O tráfego é então encaminhado para a sua origem através da plataforma de ligação privada através da rede de backbone da Microsoft. Assim, o tráfego de entrada para a sua origem é protegido assim que chega ao Azure Front Door.
Nota
- Esta funcionalidade suporta apenas conectividade de ligação privada desde o seu AFD até à sua origem. Não há suporte para conectividade privada de cliente para AFD.
Origens suportadas
O suporte de origem para conectividade direta de ponto final privado está atualmente limitado aos tipos de origem abaixo.
Tipo de origem | Documentação |
---|---|
Serviço de Aplicativo (Aplicativo Web, Aplicativo de Função) | Conecte o AFD a uma origem de Aplicação Web ou Aplicação de Função com Ligação Privada. |
Armazenamento de Blobs | Conecte o AFD a uma origem de conta de armazenamento com o Private Link. |
Site estático de armazenamento | Conecte o AFD a uma origem de armazenamento de site estático com o Private Link. |
Balanceadores de carga internos ou quaisquer serviços que exponham balanceadores de carga internos, como o Serviço Kubernetes do Azure ou o Red Hat OpenShift do Azure | Conecte o AFD a uma origem de balanceador de carga interno com o Private Link. |
API Management | Conecte o AFD a uma origem de Gerenciamento de API com o Private Link. |
Gateway de Aplicação | Conecte o AFD a uma origem de gateway de aplicação com o Private Link. |
Azure Container Apps | Conecte o AFD a uma origem de Aplicativos de Contêiner do Azure com Link Privado. |
Nota
- Este recurso não é suportado com os Slots do Serviço de Aplicativo do Azure e o Aplicativo Web Estático do Azure.
Disponibilidade da região
O link privado do Azure Front Door está disponível nas seguintes regiões:
Américas | Europa | África | Ásia-Pacífico |
---|---|---|---|
Sul do Brasil | Centro de França | Norte da África do Sul | Leste da Austrália |
Canadá Central | Alemanha Centro-Oeste | Índia Central | |
E.U.A. Central | Europa do Norte | Leste do Japão | |
E.U.A. Leste | Leste da Noruega | Coreia Central | |
E.U.A. Leste 2 | Sul do Reino Unido | Ásia Leste | |
E.U.A. Centro-Sul | Europa Ocidental | Sudeste Asiático | |
E.U.A. Oeste 2 | Suécia Central | ||
E.U.A. Oeste 3 | |||
US Gov - Arizona | |||
US Gov - Texas | |||
US Gov - Virginia |
O recurso Azure Front Door Private Link é independente de região, mas para obter a melhor latência, você sempre deve escolher uma região do Azure mais próxima de sua origem ao optar por habilitar o ponto de extremidade do Azure Front Door Private Link. Se a região da sua origem não for suportada na lista de regiões suportadas pelo AFD Private Link, escolha a região mais próxima. Você pode usar as estatísticas de latência de ida e volta da rede do Azure para determinar a próxima região mais próxima em termos de latência.
Dicas ao usar a integração AFD Private Link
- O Azure Front Door não permite misturar origens públicas e privadas no mesmo grupo de origem. Isso pode causar erros durante a configuração ou enquanto o AFD tenta enviar tráfego para as origens públicas/privadas. Mantenha todas as suas origens públicas num único grupo de origem e mantenha todas as suas origens privadas num grupo de origem diferente.
- Melhorar a redundância:
- Para melhorar a redundância no nível de origem, certifique-se de ter várias origens habilitadas para link privado dentro do mesmo grupo de origem para que o AFD possa distribuir o tráfego em várias instâncias do aplicativo. Se uma instância não estiver disponível, outras origens ainda poderão receber tráfego.
- Para encaminhar o tráfego de Link Privado, as solicitações são encaminhadas dos POPs AFD para a rede virtual gerida pela AFD, hospedada nos clusters regionais da AFD. Para ter redundância caso o cluster regional não esteja acessível, é recomendável configurar várias origens (cada uma com uma região de Link Privado diferente) no mesmo grupo de origem AFD. Dessa forma, mesmo que um cluster regional não esteja disponível, outras origens ainda podem receber tráfego por meio de um cluster regional diferente. Abaixo está como seria um grupo de origens com redundância ao nível da origem e ao nível da região.
- Ao aprovar a conexão de ponto de extremidade privada ou depois de aprovar a conexão de ponto de extremidade privado, se você clicar duas vezes no ponto de extremidade privado, verá uma mensagem de erro dizendo "Você não tem acesso. Copie os detalhes do erro e envie-os ao(s) seu(s) administrador(es) para ter acesso a esta página." Isso é esperado, pois o ponto de extremidade privado é hospedado em uma assinatura gerenciada pelo Azure Front Door.
- Para proteção da plataforma, cada cluster regional AFD tem um limite de 7200 RPS (solicitações por segundo) por perfil AFD. Solicitações que excedam 7200 RPS serão limitadas com "429 Muitas Solicitações". Se estiver a integrar novos sistemas ou a prever tráfego superior a 7200 requisições por segundo (RPS), recomendamos a implementação de múltiplas fontes de origem (cada uma numa região de conectividade privada diferente) para que o tráfego seja distribuído por vários clusters regionais de AFD. É recomendável que cada origem seja uma instância separada do seu aplicativo para melhorar a redundância no nível de origem. Mas se você não puder manter instâncias separadas, ainda poderá configurar várias origens no nível AFD com cada origem apontando para o mesmo nome de host, mas as regiões serão mantidas diferentes. Desta forma, o AFD encaminhará o tráfego para a mesma instância, mas através de clusters regionais diferentes.
Associação de um ponto de extremidade privado a um perfil do Azure Front Door
Criação de ponto final privado
Dentro de um único perfil do Azure Front Door, se duas ou mais origens habilitadas para Link Privado forem criadas com o mesmo conjunto de ID de recurso, ID de grupo e região, para todas essas origens apenas um ponto de extremidade privado será criado. As conexões com o backend podem ser habilitadas usando este ponto de extremidade privado. Essa configuração significa que você só precisa aprovar o ponto de extremidade privado uma vez porque apenas um ponto de extremidade privado é criado. Se criar mais origens ativadas para ligações privadas usando o mesmo conjunto de localização de ligação privada, ID de recurso e ID de grupo, não será necessário aprovar mais pontos de extremidade privados.
Advertência
Evite configurar várias origens habilitadas para link privado que apontem para o mesmo recurso (com ID de recurso, ID de grupo e região idênticas), se cada origem usar uma porta HTTP ou HTTPS diferente. Essa configuração pode levar a problemas de roteamento entre a porta da frente e a origem devido a uma limitação da plataforma.
Ponto de extremidade privado único
Por exemplo, um único endpoint privado é criado para todas as diferentes origens em vários grupos de origem, mas no mesmo perfil do Azure Front Door, conforme mostrado na tabela a seguir:
Vários endpoints privados
Um novo ponto de extremidade privado é criado no seguinte cenário:
Se a região, o ID do recurso ou o ID do grupo forem alterados, o AFD considerará que o local do Link Privado e o nome do host foram alterados, resultando em pontos de extremidade privados extras criados e cada um deles precisa ser aprovado.
Habilitar uma Ligação Privada para fontes em diferentes perfis do Front Door criará pontos de extremidade privados extras e exige aprovação para cada um deles.
Remoção de ponto final privado
Quando um perfil do Azure Front Door é eliminado, os pontos de extremidade privados associados ao perfil também são eliminados.
Ponto de extremidade privado único
Se AFD-Profile-1 for excluído, o ponto de extremidade privado PE1 em todas as origens também será excluído.
Vários endpoints privados
Se AFD-Profile-1 for eliminado, todos os pontos de extremidade privados de PE1 até PE4 serão eliminados.
A eliminação de um perfil do Azure Front Door não afeta os pontos de extremidade privados criados para um perfil diferente do Azure Front Door.
Por exemplo:
- Se AFD-Profile-2 for excluído, será removido somente o PE5.
- Se o AFD-Profile-3 for eliminado, apenas o PE6 será removido.
- Se AFD-Profile-4 for eliminado, somente PE7 será removido.
- Se AFD-Profile-5 for excluído, somente o PE8 será removido.
Próximos passos
- Saiba como conectar o Azure Front Door Premium a uma origem de Aplicativo Web com o Private Link.
- Saiba como conectar o Azure Front Door Premium a uma origem de conta de armazenamento com o Private Link.
- Saiba como conectar o Azure Front Door Premium a uma origem de balanceador de carga interno com o Private Link.
- Saiba como conectar o Azure Front Door Premium a uma origem de site estático de armazenamento com o Private Link.
- Saiba como conectar o Azure Front Door Premium a uma origem de gateway de aplicativo com o Private Link.
- Saiba como conectar o Azure Front Door Premium a uma origem de Gerenciamento de API com o Private Link.
- Saiba como conectar o Azure Front Door Premium a uma origem de Aplicativos de Contêiner do Azure com o Private Link.