Защита источника с помощью Приватного канала в Azure Front Door ценовой категории "Премиум"
Приватный канал Azure обеспечивает доступ к службам PaaS Azure и к службам, размещенным в Azure, через частную конечную точку виртуальной сети. Трафик между вашей виртуальной сетью и службой проходит через магистральную сеть Майкрософт, что позволяет избежать рисков общедоступного Интернета.
Azure Front Door категории "Премиум" может подключаться к источнику с помощью Приватного канала. Источник может размещаться в виртуальной сети или размещаться как служба PaaS, например веб-приложение Azure или служба хранилища Azure. Приватный канал удаляет необходимость общедоступного доступа к источнику.
Как работает Приватный канал
При включении Приватного канала на источнике в Azure Front Door ценовой категории "Премиум" создается частная конечная точка от вашего имени в локальной частной сети управляемой Azure Front Door. На источнике вы получите запрос создания частной конечной точки Azure Front Door по источнику, ожидающему вашего подтверждения.
Внимание
Прежде чем трафик начнет передаваться в источник в частном порядке, необходимо утвердить подключение к частной конечной точке. Подключения к частным конечным точкам можно утверждать с помощью портала Azure, Azure CLI или Azure PowerShell. Дополнительные сведения см. в статье Управление подключением к частной конечной точке.
После включения источника для Приватный канал и утверждения подключения к частной конечной точке может потребоваться несколько минут для установки подключения. В течение этого времени запросы к источнику получат сообщение об ошибке от Azure Front Door. После установки подключения сообщение об ошибке будет устранено.
После утверждения запроса частный IP-адрес назначается из виртуальной сети, управляемой Azure Front Door. Трафик между Azure Front Door и источником будет взаимодействовать с помощью установленного приватного канала через магистральную сеть Майкрософт. Входящий трафик к источнику теперь защищен при поступлении с Azure Front Door.
Сопоставление частной конечной точки с профилем Azure Front Door
Создание частной конечной точки
В одном профиле Azure Front Door, если создаются два или более Приватный канал источников с одинаковым набором Приватный канал, идентификатором ресурса и идентификатором группы, то для всех таких источников создается только одна частная конечная точка. Подключение в серверную часть можно включить с помощью этой частной конечной точки. Эта настройка означает, что необходимо утвердить частную конечную точку только один раз, так как создается только одна частная конечная точка. Если вы создаете более Приватный канал включенные источники с использованием того же набора Приватный канал расположения, идентификатора ресурса и идентификатора группы, вам больше не нужно утверждать частные конечные точки.
Отдельная частная конечная точка
Например, одна частная конечная точка создается для всех разных источников в разных группах источников, но в одном профиле Azure Front Door, как показано в следующей таблице:
Несколько частных конечных точек
Новая частная конечная точка создается в следующем сценарии:
Если регион, идентификатор ресурса или идентификатор группы изменяется:
Примечание.
Расположение Приватный канал и имя узла изменились, что привело к созданию дополнительных частных конечных точек и требует утверждения для каждого из них.
При изменении профиля Azure Front Door:
Примечание.
Включение Приватный канал для источников в разных профилях Front Door создаст дополнительные частные конечные точки и требует утверждения для каждого из них.
Удаление частной конечной точки
При удалении профиля Azure Front Door частные конечные точки, связанные с профилем, также будут удалены.
Отдельная частная конечная точка
Если AFD-Profile-1 удаляется, то частная конечная точка PE1 во всех источниках также будет удалена.
Несколько частных конечных точек
Если AFD-Profile-1 удаляется, будут удалены все частные конечные точки из PE1 до PE4.
Удаление профиля Front Door не влияет на частные конечные точки, созданные для другого профиля Front Door.
Например:
- Если AFD-Profile-2 удаляется, удаляется только PE5.
- Если AFD-Profile-3 удаляется, удаляется только PE6.
- Если AFD-Profile-4 удаляется, удаляется только PE7.
- Если AFD-Profile-5 удаляется, удаляется только PE8.
Доступность по регионам
Приватный канал Azure Front Door доступен в следующих регионах:
| Северная и Южная Америка | Европа | Африка | Азиатско-Тихоокеанский регион |
|---|---|---|---|
| Brazil South | Центральная Франция | Северная часть ЮАР | Восточная Австралия |
| Центральная Канада | Центрально-Западная Германия | Центральная Индия | |
| Центральная часть США | Северная Европа | Восточная Япония | |
| Восточная часть США | Восточная Норвегия; | Республика Корея, центральный регион | |
| Восточная часть США 2 | южная часть Соединенного Королевства | Восточная Азия | |
| Центрально-южная часть США | Западная Европа | ||
| Западная часть США — 3 | Центральная Швеция | ||
| US Gov (Аризона) | |||
| US Gov (Техас) |
Ограничения
Поддержка прямого подключения к частной конечной точке в настоящее время ограничена:
- Хранилище BLOB-объектов
- Веб-приложение
- Внутренние подсистемы балансировки нагрузки или любые службы, предоставляющие внутренние подсистемы балансировки нагрузки, такие как Служба Azure Kubernetes, приложения контейнеров Azure или Azure Red Hat OpenShift
- статический веб-сайт служба хранилища
Примечание.
Эта функция не поддерживается с Служба приложений слотами и функциями
Функция Приватного канала Azure Front Door не зависит от региона, но для минимальной задержки всегда следует выбирать ближайший к источнику регион Azure при включении конечной точки Приватного канала Azure Front Door.
Следующие шаги
- Узнайте, как подключить Azure Front Door Premium к источнику веб-приложения с помощью Приватный канал.
- Узнайте, как подключать Azure Front Door ценовой категории "Премиум" к источнику учетной записи хранения с помощью Приватного канала.
- Узнайте, как подключать Azure Front Door ценовой категории "Премиум" к источнику внутренней подсистемы балансировки нагрузки с помощью Приватного канала.
- Узнайте, как подключить Azure Front Door Premium к источнику статического веб-сайта хранилища с помощью Приватный канал.