Proteger a Origem com Private Link no Azure Front Door Premium
Azure Private Link permite-lhe aceder aos serviços e serviços PaaS do Azure alojados no Azure através de um ponto final privado na sua rede virtual. O tráfego entre a rede virtual e o serviço passa pela rede principal da Microsoft, eliminando a exposição à Internet pública.
O Azure Front Door Premium pode ligar-se à sua origem com Private Link. A sua origem pode ser alojada numa rede virtual ou alojada como um serviço PaaS, como o Serviço de Aplicações do Azure ou o Armazenamento do Azure. Private Link elimina a necessidade de aceder publicamente à sua origem.
Como funciona o Private Link
Quando ativa Private Link à sua origem no Azure Front Door Premium, o Front Door cria um ponto final privado em seu nome a partir de uma rede privada regional gerida pelo Azure Front Door. Receberá um pedido de ponto final privado do Azure Front Door na origem, enquanto aguarda a aprovação.
Importante
Tem de aprovar a ligação de ponto final privado para que o tráfego possa passar para a origem em privado. Pode aprovar ligações de ponto final privado com o portal do Azure, a CLI do Azure ou Azure PowerShell. Para obter mais informações, veja Gerir uma ligação de Ponto Final Privado.
Depois de ativar uma origem para Private Link e aprovar a ligação de ponto final privado, a ligação pode demorar alguns minutos a ser estabelecida. Durante este período, os pedidos à origem receberão uma mensagem de erro do Azure Front Door. A mensagem de erro desaparece assim que a ligação for estabelecida.
Assim que o pedido for aprovado, é atribuído um endereço IP privado a partir da rede virtual gerida do Azure Front Door. O tráfego entre o Azure Front Door e a sua origem irá comunicar através da ligação privada estabelecida através da rede principal da Microsoft. O tráfego de entrada para a sua origem está agora protegido ao chegar ao Azure Front Door.
Associação de um ponto final privado com um perfil do Azure Front Door
Criação de pontos finais privados
Num único perfil do Azure Front Door, se duas ou mais origens ativadas Private Link forem criadas com o mesmo conjunto de Private Link, ID de recurso e ID de grupo, só é criado um ponto final privado para todas essas origens. As ligações ao back-end podem ser ativadas com este ponto final privado. Esta configuração significa que só tem de aprovar o ponto final privado uma vez porque só é criado um ponto final privado. Se criar mais Private Link origens ativadas com o mesmo conjunto de Private Link localização, ID de recurso e ID de grupo, deixará de ter de aprovar pontos finais privados.
Ponto final privado único
Por exemplo, é criado um único ponto final privado para todas as diferentes origens em diferentes grupos de origem, mas no mesmo perfil do Azure Front Door, conforme mostrado na tabela abaixo:
Vários pontos finais privados
É criado um novo ponto final privado no seguinte cenário:
Se a região, o ID do recurso ou o ID do grupo forem alterados:
Nota
O Private Link localização e o nome do anfitrião foram alterados, o que resulta em pontos finais privados adicionais criados e requer aprovação para cada um deles.
Quando o perfil do Azure Front Door for alterado:
Nota
Ativar Private Link para origens em diferentes perfis do Front Door irá criar pontos finais privados adicionais e requer aprovação para cada um deles.
Remoção de pontos finais privados
Quando um perfil do Azure Front Door é eliminado, os pontos finais privados associados ao perfil também serão eliminados.
Ponto final privado único
Se o AFD-Profile-1 for eliminado, o ponto final privado PE1 em todas as origens também será eliminado.
Vários pontos finais privados
Se o AFD-Profile-1 for eliminado, todos os pontos finais privados de PE1 a PE4 serão eliminados.
Eliminar um perfil do Front Door não afetará os pontos finais privados criados para um perfil do Front Door diferente.
Por exemplo:
- Se o AFD-Profile-2 for eliminado, apenas PE5 será removido.
- Se o AFD-Profile-3 for eliminado, apenas o PE6 será removido.
- Se o AFD-Profile-4 for eliminado, apenas PE7 será removido.
- Se o AFD-Profile-5 for eliminado, apenas PE8 será removido.
Disponibilidade de região
A ligação privada do Azure Front Door está disponível nas seguintes regiões:
| América | Europa | África | Ásia-Pacífico |
|---|---|---|---|
| Sul do Brasil | França Central | Norte da África do Sul | Leste da Austrália |
| Canadá Central | Alemanha Centro-Oeste | Índia Central | |
| E.U.A. Central | Europa do Norte | Leste do Japão | |
| E.U.A. Leste | Leste da Noruega | Coreia do Sul Central | |
| E.U.A. Leste 2 | Sul do Reino Unido | Ásia Leste | |
| E.U.A. Centro-Sul | Europa Ocidental | ||
| EUA Oeste 3 | Suécia Central |
Limitações
O suporte de origem para conectividade de ponto final privado direto está atualmente limitado a:
- Armazenamento (Blobs do Azure)
- Serviços Aplicacionais
- Balanceadores de carga internos ou quaisquer serviços que exponham balanceadores de carga internos, como Azure Kubernetes Service, Azure Container Apps ou Azure Red Hat OpenShift
- Site Estático de Armazenamento
A funcionalidade Private Link do Azure Front Door é agnóstica de região, mas, para obter a melhor latência, deve sempre escolher uma região do Azure mais próxima da sua origem ao optar por ativar o Azure Front Door Private Link ponto final.
Passos seguintes
- Saiba como ligar o Azure Front Door Premium a uma origem Serviço de Aplicações com Private Link.
- Saiba como ligar o Azure Front Door Premium a uma origem de conta de armazenamento com Private Link.
- Saiba como ligar o Azure Front Door Premium a uma origem de balanceador de carga interno com Private Link.
- Saiba como ligar o Azure Front Door Premium a uma origem de site estática de armazenamento com Private Link.