Conectar o Azure Front Door Premium a uma origem de conta de armazenamento com o Private Link

Aplica-se a: ✔️ Front Door Premium

Este artigo orienta você na configuração do Azure Front Door Premium para se conectar de forma privada a uma origem de conta de armazenamento usando o serviço Azure Private Link.

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.

• Um link privado. Para obter mais informações, consulte Criar um serviço de Link Privado para seu servidor Web de origem.

• Entre no portal do Azure com sua conta do Azure.

• Um link privado. Para obter mais informações, consulte Criar um serviço de Link Privado para seu servidor Web de origem.

• Azure Cloud Shell ou CLI do Azure.

  As etapas neste artigo executam os comandos da CLI do Azure interativamente no Azure Cloud Shell. Para executar os comandos no Cloud Shell, selecione Open Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e cole-o no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell de dentro do portal do Azure.

  Você também pode instalar a CLI do Azure localmente para executar os comandos. Se você executar a CLI do Azure localmente, entre no Azure usando o comando az login .

Nota

Os endpoints privados exigem que sua conta de armazenamento atenda a requisitos específicos. Para obter mais informações, consulte Usando pontos de extremidade privados para o Armazenamento do Azure.

Habilitar o Link Privado para uma conta de armazenamento no Azure Front Door

Nesta seção, mapeia-se o serviço de Ligação Privada a um ponto final privado criado na rede privada do Azure Front Door.

1. No seu perfil do Azure Front Door Premium, em Configurações, selecione Grupos de origem.

2. Selecione o grupo de origem que contém a origem da conta de armazenamento para a qual você deseja habilitar o Private Link.

3. Selecione + Adicionar uma origem para adicionar uma nova origem de conta de armazenamento ou selecione uma origem de conta de armazenamento criada anteriormente na lista.

4. Selecione ou insira os seguintes valores para configurar o blob de armazenamento com o qual você deseja que o Azure Front Door Premium se conecte de forma privada.

   Configuração	Valor
   Nome	Insira um nome para identificar a origem desse blog de armazenamento.
   Tipo de origem	Armazenamento (Azure Blobs)
   Nome do anfitrião	Selecione o host na lista suspensa que você deseja como origem.
   Cabeçalho de host de origem	Você pode personalizar o cabeçalho do host da origem ou deixá-lo como padrão.
   Porta HTTP	80 (predefinição)
   Porta HTTPS	443 (padrão)
   Prioridade	Origens diferentes podem ter prioridades diferentes para fornecer origens primárias, secundárias e de backup.
   Peso	1000 (padrão). Atribua pesos às suas diferentes origens quando quiser distribuir o tráfego.
   Região	Selecione a região que é a mesma ou mais próxima da sua origem.
   Subrecurso de destino	O tipo de subrecurso para o recurso selecionado anteriormente que seu ponto de extremidade privado pode acessar. Você pode selecionar blob ou web.
   Solicitar mensagem	Mensagem personalizada que será exibida ao aprovar o ponto de extremidade privado.

   

5. Selecione Adicionar para salvar sua configuração.

6. Selecione Atualizar para salvar as configurações do grupo de origem.

Nota

Verifique se o caminho de origem na regra de encaminhamento está configurado corretamente com o caminho do ficheiro do contêiner de armazenamento para permitir o acesso às solicitações de arquivo.

Use o comando az afd origin create para criar uma nova origem do Azure Front Door. O private-link-location valor deve ser das regiões disponíveis e o private-link-sub-resource-type valor é blob.

az afd origin create --enabled-state Enabled \
                     --resource-group 'myResourceGroup' \
                     --origin-group-name 'og1' \
                     --origin-name 'mystorageorigin' \
                     --profile-name 'contosoAFD' \
                     --host-name 'mystorage.blob.core.windows.net' \
                     --origin-host-header 'mystorage.blob.core.windows.net' \
                     --http-port 80 \
                     --https-port 443 \
                     --priority 1 \
                     --weight 500 \
                     --enable-private-link true \
                     --private-link-location 'EastUS' \
                     --private-link-request-message 'AFD storage origin Private Link request.' \
                     --private-link-resource '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorage' \
                     --private-link-sub-resource-type blob 

Aprovar a conexão de ponto final privado do Front Door a partir da conta de armazenamento

1. Vá para a conta de armazenamento para a qual você configurou o Private Link na seção anterior.

2. Em Configurações, selecione Rede.

3. Em Rede, selecione Ligações de ponto de extremidade privado.

4. Selecione a solicitação de ponto de extremidade privado pendente do Azure Front Door Premium e selecione Aprovar.

   

1. Use o comando az network private-endpoint-connection list para listar as conexões de ponto de extremidade privado para sua conta de armazenamento. Observe a Resource ID conexão do ponto de extremidade privado da saída.

   az network private-endpoint-connection list --name 'mystorage' --resource-group 'myResourceGroup' --type 'Microsoft.Storage/storageAccounts'
   

2. Use o comando az network private-endpoint-connection approve para aprovar a conexão de ponto de extremidade privado.

   az network private-endpoint-connection approve --id '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e'
   

Leva alguns minutos para que a conexão se estabeleça completamente após a aprovação. Uma vez estabelecido, pode aceder à sua conta de armazenamento de forma privada através do Azure Front Door Premium. O acesso público à Internet para a conta de armazenamento é desativado assim que o ponto de extremidade privado é ativado.

Nota

Se o blob ou contêiner dentro da conta de armazenamento não permitir acesso anônimo, as solicitações feitas contra o blob/contêiner devem ser autorizadas. Uma opção para autorizar uma solicitação é usar assinaturas de acesso compartilhado.

Erros comuns a evitar

A seguir estão erros comuns ao configurar uma origem com o Azure Private Link habilitado:

• Adicionar a origem com o Azure Private Link habilitado a um grupo de origem existente que contém origens públicas. O Azure Front Door não permite misturar origens públicas e privadas no mesmo grupo de origem.
• Não usar tokens SAS ao se conectar a uma conta de armazenamento que não permita acesso anônimo.

Conteúdo relacionado

• Conectar o Azure Front Door a uma origem de balanceador de carga interno com Private Link
• Serviço de ligação privada com conta de armazenamento