Поделиться через


Обеспечьте безопасность вашего источника с помощью частного соединения в Azure Front Door уровня "Премиум".

Область применения: ✔️ Front Door Premium

Приватный канал Azure обеспечивает доступ к службам PaaS Azure и к службам, размещенным в Azure, через частную конечную точку виртуальной сети. Трафик между вашей виртуальной сетью и службой проходит через магистральную сеть Майкрософт, что позволяет избежать рисков общедоступного Интернета.

Azure Front Door Premium может подключаться к вашему источнику с помощью Private Link. Ваш источник может быть размещен в виртуальной сети или как PaaS-сервис, например, в виде веб-приложения Azure или службы хранения Azure. "Private Link устраняет необходимость в публичном доступе к источнику."

Схема Azure Front Door с включенным Private Link.

При включении Private Link к начальному узлу в Azure Front Door Premium, Front Door создает частную конечную точку от вашего имени в управляемой Azure Front Door региональной частной сети. Вы получаете запрос частной конечной точки Azure Front Door от источника, ожидающий утверждения.

Прежде чем трафик начнет передаваться в источник в частном порядке, необходимо утвердить подключение к частной конечной точке. Подключения к частным конечным точкам можно утверждать с помощью портала Azure, Azure CLI или Azure PowerShell. Дополнительные сведения см. в статье Управление подключением к частной конечной точке.

После включения источника для Private Link и утверждения подключения к приватной конечной точке установка подключения может занять несколько минут. В это время запросы к источнику получают сообщение об ошибке Azure Front Door. Сообщение об ошибке исчезает после установки подключения.

После утверждения запроса выделенная частная конечная точка назначается для маршрутизации трафика из управляемой виртуальной сети Azure Front Door. Трафик клиентов достигает глобальных точек присутствия (POPs) Azure Front Door, а затем направляется по магистральной сети компании Microsoft в региональный кластер AFD, где размещена управляемая виртуальная сеть, содержащая выделенную частную конечную точку. Затем трафик направляется к вашему источнику через платформу Private Link по магистральной сети Microsoft. Таким образом, входящий трафик к вашему источнику надежно защищается с момента его поступления в Azure Front Door.

Примечание.

  • Эта функция поддерживает только частное соединение из вашего AFD к исходному серверу. Частное подключение клиента к AFD не поддерживается.

Поддерживаемые источники

Поддержка прямого подключения к частной конечной точке в настоящее время ограничена приведенными ниже типами источников.

Тип источника Документация
Служба приложений (веб-приложение, приложение-функция) Подключите AFD к источнику веб-приложения или Function App через Private Link.
Хранилище BLOB-объектов Подключите AFD к источнику данных хранилища через приватное соединение.
Статический веб-сайт хранилища Подключите AFD к источнику статического веб-сайта хранилища с помощью приватного канала.
Внутренние подсистемы балансировки нагрузки или любые службы, предоставляющие внутренние подсистемы балансировки нагрузки, такие как служба Azure Kubernetes, или Azure Red Hat OpenShift Подключите AFD к внутреннему источнику балансировки нагрузки с помощью Private Link.
Управление API Подключите AFD к источнику управления API с помощью приватного канала.
Шлюз приложений Подключите AFD к источнику шлюза приложений с помощью приватного канала.
Приложения контейнеров Azure Подключите AFD к источнику приложений контейнеров Azure с помощью приватного канала.

Примечание.

  • Эта функция не поддерживается в слотах службы приложений Azure и статическом веб-приложении Azure.

Доступность по регионам

Приватный канал Azure Front Door доступен в следующих регионах:

Американский континент Европа Африка Азиатско-Тихоокеанский регион
Юг Бразилии Центральная Франция Северная часть ЮАР Восточная Австралия
Центральная Канада Центрально-Западная Германия Центральная Индия
Центральная часть США Северная Европа Восточная Япония
Восточная часть США Восточная Норвегия; Республика Корея, центральный регион
Восточная часть США 2 южная часть Соединенного Королевства Восточная Азия
Центрально-южная часть США Западная Европа Юго-Восточная Азия
Западная часть США 2 Центральная Швеция
Запад США 3
Правительство США (Аризона)
US Gov (Техас)
Правительство США Вирджинии

Функция Приватного канала Azure Front Door не зависит от региона, но для минимальной задержки всегда следует выбирать ближайший к источнику регион Azure при включении конечной точки Приватного канала Azure Front Door. Если регион происхождения не поддерживается в списке регионов, поддерживаемых AFD Приватным каналом, выберите следующий ближайший регион. Вы можете использовать статистику сетевой задержки Azure для определения следующего ближайшего региона с наименьшей задержкой.

  • Azure Front Door не позволяет смешивать общедоступные и частные источники в той же группе источников. Это может привести к ошибкам во время настройки или при попытке AFD отправить трафик в общедоступные или частные источники. Сохраните все общедоступные источники в одной группе источников и сохраните все ваши частные источники в другой группе источников.
  • Повышение надежности:
    • Чтобы повысить избыточность на уровне источника, убедитесь, что в одной группе источников есть несколько источников с поддержкой приватного канала, чтобы AFD могли распределять трафик между несколькими экземплярами приложения. Если один экземпляр недоступен, другие источники по-прежнему могут получать трафик.
    • Чтобы маршрутизировать трафик приватного канала, запросы направляются из POD в управляемую виртуальную сеть AFD, размещенную в региональных кластерах AFD. Чтобы обеспечить избыточность в случае недоступности регионального кластера, рекомендуется настроить несколько источников (каждый из которых имеет другой регион приватного канала) в одной группе источников AFD. Таким образом, даже если один региональный кластер недоступен, другие источники по-прежнему могут получать трафик через другой региональный кластер. Ниже показано, как будет выглядеть группа источников с уровнем происхождения и уровнем избыточности региона. Схема, показывающая группу источников с избыточностью уровня источника и региона.
  • При утверждении подключения к частной конечной точке или после утверждения подключения к частной конечной точке при двойном щелчке по частной конечной точке появится сообщение об ошибке с сообщением "У вас нет доступа. Скопируйте сведения об ошибке и отправьте их администраторам, чтобы получить доступ к этой странице". Ожидается, что частная конечная точка размещается в подписке, управляемой Azure Front Door.
  • Для защиты платформы каждый региональный кластер AFD имеет ограничение в 7200 RPS (запросов в секунду) на профиль AFD. Запросы, превышающие 7200 RPS, будут ограничены скоростью "429 слишком много запросов". При подключении или ожидании трафика более 7200 RPS рекомендуется развернуть несколько источников (каждый из которых имеет другой регион приватного канала), чтобы трафик распределялся по нескольким региональным кластерам AFD. Рекомендуется, чтобы каждый источник был отдельным экземпляром вашего приложения для повышения резервирования на уровне источника. Но если вы не можете поддерживать отдельные экземпляры, вы по-прежнему можете настроить несколько источников на уровне AFD с каждым источником, указывающим на одно и то же имя узла, но регионы сохраняются разными. Таким образом, AFD перенаправит трафик в ту же инстанцию, но через разные региональные кластеры.

Сопоставление частной конечной точки с профилем Azure Front Door

Создание частной конечной точки

В одном профиле Azure Front Door, если создаются два или более источников с поддержкой приватного канала с одинаковым набором идентификатора ресурса, идентификатора группы и региона, то для всех таких источников создается только одна частная конечная точка. Подключения к серверной части можно включить с помощью этой частной конечной точки. Эта настройка означает, что необходимо утвердить частную конечную точку только один раз, так как создается только одна частная конечная точка. Если вы создаете больше источников с поддержкой Private Link, используя тот же набор расположения Private Link, идентификатора ресурса и идентификатора группы, вам не требуется утверждать дополнительные частные конечные точки.

Предупреждение

Избегайте настройки нескольких источников с поддержкой приватного канала, указывающих на один ресурс (с одинаковым идентификатором ресурса, идентификатором группы и регионом), если каждый источник использует другой порт HTTP или HTTPS. Эта настройка может привести к проблемам маршрутизации между Front Door и источником из-за ограничения платформы.

Отдельная частная конечная точка

Например, одна частная конечная точка создается для всех разных источников в разных группах источников, но в одном профиле Azure Front Door, как показано в следующей таблице:

Диаграмма, показывающая единственную частную конечную точку, созданную для источников, созданных в одном и том же профиле Azure Front Door.

Несколько частных конечных точек

Новая частная конечная точка создается в следующем сценарии:

  • Если регион, идентификатор ресурса или идентификатор группы изменяются, AFD считает, что расположение приватного канала и имя узла изменились, в результате чего создаются дополнительные частные конечные точки, и каждый из них должен быть утвержден.

    Схема, показывающая несколько частных конечных точек, созданных из-за изменений в регионе и идентификаторе ресурса для источника.

  • Включение Private Link для источников в разных профилях Front Door создаст дополнительные частные конечные точки и потребует одобрения для каждой из них.

    Схема, показывающая несколько частных конечных точек, созданных из-за того, что источник связан с несколькими профилями Azure Front Door.

Удаление частной конечной точки

При удалении профиля Azure Front Door частные конечные точки, связанные с профилем, также удаляются.

Отдельная частная конечная точка

Если AFD-Profile-1 удаляется, то частная конечная точка PE1 во всех источниках также удаляется.

Диаграмма показывает, что если AFD-Profile-1 удаляется, то PE1 удаляется по всем источникам.

Несколько частных конечных точек

  • Если AFD-Profile-1 удаляется, все частные конечные точки с PE1 по PE4 удаляются.

    Схема, показывающая, что если AFD-Profile-1 будет удалён, то все частные конечные точки от PE1 до PE4 также будут удалены.

  • Удаление профиля Azure Front Door не влияет на частные конечные точки, созданные для другого профиля Azure Front Door.

    Схема, показывающая удаление профиля Azure Front Door, которое не влияет на частные конечные точки в других профилях Front Door.

    Например:

    • Если AFD-Profile-2 удаляется, удаляется только PE5.
    • Если AFD-Profile-3 удаляется, удаляется только PE6.
    • Если AFD-Profile-4 удаляется, удаляется только PE7.
    • Если AFD-Profile-5 удаляется, удаляется только PE8.

Следующие шаги