Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ Front Door Premium
Приватный канал Azure обеспечивает доступ к службам PaaS Azure и к службам, размещенным в Azure, через частную конечную точку виртуальной сети. Трафик между вашей виртуальной сетью и службой проходит через магистральную сеть Майкрософт, что позволяет избежать рисков общедоступного Интернета.
Azure Front Door Premium может подключаться к вашему источнику с помощью Private Link. Ваш источник может быть размещен в виртуальной сети или как PaaS-сервис, например, в виде веб-приложения Azure или службы хранения Azure. "Private Link устраняет необходимость в публичном доступе к источнику."
Как работает Приватный канал
При включении Private Link к начальному узлу в Azure Front Door Premium, Front Door создает частную конечную точку от вашего имени в управляемой Azure Front Door региональной частной сети. Вы получаете запрос частной конечной точки Azure Front Door от источника, ожидающий утверждения.
Прежде чем трафик начнет передаваться в источник в частном порядке, необходимо утвердить подключение к частной конечной точке. Подключения к частным конечным точкам можно утверждать с помощью портала Azure, Azure CLI или Azure PowerShell. Дополнительные сведения см. в статье Управление подключением к частной конечной точке.
После включения источника для Private Link и утверждения подключения к приватной конечной точке установка подключения может занять несколько минут. В это время запросы к источнику получают сообщение об ошибке Azure Front Door. Сообщение об ошибке исчезает после установки подключения.
После утверждения запроса выделенная частная конечная точка назначается для маршрутизации трафика из управляемой виртуальной сети Azure Front Door. Трафик клиентов достигает глобальных точек присутствия (POPs) Azure Front Door, а затем направляется по магистральной сети компании Microsoft в региональный кластер AFD, где размещена управляемая виртуальная сеть, содержащая выделенную частную конечную точку. Затем трафик направляется к вашему источнику через платформу Private Link по магистральной сети Microsoft. Таким образом, входящий трафик к вашему источнику надежно защищается с момента его поступления в Azure Front Door.
Примечание.
- Эта функция поддерживает только частное соединение из вашего AFD к исходному серверу. Частное подключение клиента к AFD не поддерживается.
Поддерживаемые источники
Поддержка прямого подключения к частной конечной точке в настоящее время ограничена приведенными ниже типами источников.
| Тип источника | Документация |
|---|---|
| Служба приложений (веб-приложение, приложение-функция) | Подключите AFD к источнику веб-приложения или Function App через Private Link. |
| Хранилище BLOB-объектов | Подключите AFD к источнику данных хранилища через приватное соединение. |
| Статический веб-сайт хранилища | Подключите AFD к источнику статического веб-сайта хранилища с помощью приватного канала. |
| Внутренние подсистемы балансировки нагрузки или любые службы, предоставляющие внутренние подсистемы балансировки нагрузки, такие как служба Azure Kubernetes, или Azure Red Hat OpenShift | Подключите AFD к внутреннему источнику балансировки нагрузки с помощью Private Link. |
| Управление API | Подключите AFD к источнику управления API с помощью приватного канала. |
| Шлюз приложений | Подключите AFD к источнику шлюза приложений с помощью приватного канала. |
| Приложения контейнеров Azure | Подключите AFD к источнику приложений контейнеров Azure с помощью приватного канала. |
Примечание.
- Эта функция не поддерживается в слотах службы приложений Azure и статическом веб-приложении Azure.
Доступность по регионам
Приватный канал Azure Front Door доступен в следующих регионах:
| Американский континент | Европа | Африка | Азиатско-Тихоокеанский регион |
|---|---|---|---|
| Юг Бразилии | Центральная Франция | Северная часть ЮАР | Восточная Австралия |
| Центральная Канада | Центрально-Западная Германия | Центральная Индия | |
| Центральная часть США | Северная Европа | Восточная Япония | |
| Восточная часть США | Восточная Норвегия; | Республика Корея, центральный регион | |
| Восточная часть США 2 | южная часть Соединенного Королевства | Восточная Азия | |
| Центрально-южная часть США | Западная Европа | Юго-Восточная Азия | |
| Западная часть США 2 | Центральная Швеция | ||
| Запад США 3 | |||
| Правительство США (Аризона) | |||
| US Gov (Техас) | |||
| Правительство США Вирджинии |
Функция Приватного канала Azure Front Door не зависит от региона, но для минимальной задержки всегда следует выбирать ближайший к источнику регион Azure при включении конечной точки Приватного канала Azure Front Door. Если регион происхождения не поддерживается в списке регионов, поддерживаемых AFD Приватным каналом, выберите следующий ближайший регион. Вы можете использовать статистику сетевой задержки Azure для определения следующего ближайшего региона с наименьшей задержкой.
Рекомендации по использованию интеграции AFD Private Link
- Azure Front Door не позволяет смешивать общедоступные и частные источники в той же группе источников. Это может привести к ошибкам во время настройки или при попытке AFD отправить трафик в общедоступные или частные источники. Сохраните все общедоступные источники в одной группе источников и сохраните все ваши частные источники в другой группе источников.
- Повышение надежности:
- Чтобы повысить избыточность на уровне источника, убедитесь, что в одной группе источников есть несколько источников с поддержкой приватного канала, чтобы AFD могли распределять трафик между несколькими экземплярами приложения. Если один экземпляр недоступен, другие источники по-прежнему могут получать трафик.
- Чтобы маршрутизировать трафик приватного канала, запросы направляются из POD в управляемую виртуальную сеть AFD, размещенную в региональных кластерах AFD. Чтобы обеспечить избыточность в случае недоступности регионального кластера, рекомендуется настроить несколько источников (каждый из которых имеет другой регион приватного канала) в одной группе источников AFD. Таким образом, даже если один региональный кластер недоступен, другие источники по-прежнему могут получать трафик через другой региональный кластер. Ниже показано, как будет выглядеть группа источников с уровнем происхождения и уровнем избыточности региона.
- При утверждении подключения к частной конечной точке или после утверждения подключения к частной конечной точке при двойном щелчке по частной конечной точке появится сообщение об ошибке с сообщением "У вас нет доступа. Скопируйте сведения об ошибке и отправьте их администраторам, чтобы получить доступ к этой странице". Ожидается, что частная конечная точка размещается в подписке, управляемой Azure Front Door.
- Для защиты платформы каждый региональный кластер AFD имеет ограничение в 7200 RPS (запросов в секунду) на профиль AFD. Запросы, превышающие 7200 RPS, будут ограничены скоростью "429 слишком много запросов". При подключении или ожидании трафика более 7200 RPS рекомендуется развернуть несколько источников (каждый из которых имеет другой регион приватного канала), чтобы трафик распределялся по нескольким региональным кластерам AFD. Рекомендуется, чтобы каждый источник был отдельным экземпляром вашего приложения для повышения резервирования на уровне источника. Но если вы не можете поддерживать отдельные экземпляры, вы по-прежнему можете настроить несколько источников на уровне AFD с каждым источником, указывающим на одно и то же имя узла, но регионы сохраняются разными. Таким образом, AFD перенаправит трафик в ту же инстанцию, но через разные региональные кластеры.
Сопоставление частной конечной точки с профилем Azure Front Door
Создание частной конечной точки
В одном профиле Azure Front Door, если создаются два или более источников с поддержкой приватного канала с одинаковым набором идентификатора ресурса, идентификатора группы и региона, то для всех таких источников создается только одна частная конечная точка. Подключения к серверной части можно включить с помощью этой частной конечной точки. Эта настройка означает, что необходимо утвердить частную конечную точку только один раз, так как создается только одна частная конечная точка. Если вы создаете больше источников с поддержкой Private Link, используя тот же набор расположения Private Link, идентификатора ресурса и идентификатора группы, вам не требуется утверждать дополнительные частные конечные точки.
Предупреждение
Избегайте настройки нескольких источников с поддержкой приватного канала, указывающих на один ресурс (с одинаковым идентификатором ресурса, идентификатором группы и регионом), если каждый источник использует другой порт HTTP или HTTPS. Эта настройка может привести к проблемам маршрутизации между Front Door и источником из-за ограничения платформы.
Отдельная частная конечная точка
Например, одна частная конечная точка создается для всех разных источников в разных группах источников, но в одном профиле Azure Front Door, как показано в следующей таблице:
Несколько частных конечных точек
Новая частная конечная точка создается в следующем сценарии:
Если регион, идентификатор ресурса или идентификатор группы изменяются, AFD считает, что расположение приватного канала и имя узла изменились, в результате чего создаются дополнительные частные конечные точки, и каждый из них должен быть утвержден.
Включение Private Link для источников в разных профилях Front Door создаст дополнительные частные конечные точки и потребует одобрения для каждой из них.
Удаление частной конечной точки
При удалении профиля Azure Front Door частные конечные точки, связанные с профилем, также удаляются.
Отдельная частная конечная точка
Если AFD-Profile-1 удаляется, то частная конечная точка PE1 во всех источниках также удаляется.
Несколько частных конечных точек
Если AFD-Profile-1 удаляется, все частные конечные точки с PE1 по PE4 удаляются.
Удаление профиля Azure Front Door не влияет на частные конечные точки, созданные для другого профиля Azure Front Door.
Например:
- Если AFD-Profile-2 удаляется, удаляется только PE5.
- Если AFD-Profile-3 удаляется, удаляется только PE6.
- Если AFD-Profile-4 удаляется, удаляется только PE7.
- Если AFD-Profile-5 удаляется, удаляется только PE8.
Следующие шаги
- Узнайте, как подключить Azure Front Door Premium к источнику веб-приложения через Private Link.
- Узнайте, как подключить Azure Front Door Premium к исходной учетной записи хранения с помощью Private Link.
- Узнайте, как подключать Azure Front Door версии "Премиум" к внутреннему источнику балансировки нагрузки с помощью Private Link.
- Узнайте, как подключить Azure Front Door Premium к статическому веб-сайту в хранилище с помощью Private Link.
- Узнайте, как подключить Azure Front Door Premium к узлу шлюза приложений с помощью Private Link.
- Узнайте, как подключить Azure Front Door Premium к источнику управления API с помощью Private Link.
- Узнайте, как подключить Azure Front Door Premium к источнику Azure Container Apps с помощью Private Link.