Защита источника с помощью Приватного канала в Azure Front Door ценовой категории "Премиум"
Приватный канал Azure обеспечивает доступ к службам PaaS Azure и к службам, размещенным в Azure, через частную конечную точку виртуальной сети. Трафик между вашей виртуальной сетью и службой проходит через магистральную сеть Майкрософт, что позволяет избежать рисков общедоступного Интернета.
Azure Front Door категории "Премиум" может подключаться к источнику с помощью Приватного канала. Источник может размещаться в виртуальной сети или размещаться как служба PaaS, например веб-приложение Azure или служба хранилища Azure. Приватный канал удаляет необходимость общедоступного доступа к источнику.
Как работает Приватный канал
При включении Приватного канала на источнике в Azure Front Door ценовой категории "Премиум" создается частная конечная точка от вашего имени в локальной частной сети управляемой Azure Front Door. Вы получаете запрос частной конечной точки Azure Front Door в источнике, ожидающий утверждения.
Внимание
Прежде чем трафик начнет передаваться в источник в частном порядке, необходимо утвердить подключение к частной конечной точке. Подключения к частным конечным точкам можно утверждать с помощью портала Azure, Azure CLI или Azure PowerShell. Дополнительные сведения см. в статье Управление подключением к частной конечной точке.
После включения источника для Приватный канал и утверждения подключения к частной конечной точке может потребоваться несколько минут для установки подключения. В это время запросы к источнику получают сообщение об ошибке Azure Front Door. Сообщение об ошибке исчезает после установки подключения.
После утверждения запроса частный IP-адрес назначается из виртуальной сети, управляемой Azure Front Door. Трафик между Azure Front Door и источником взаимодействует с использованием установленного частного канала через магистральную сеть Майкрософт. Входящий трафик к источнику теперь защищен при поступлении с Azure Front Door.
Сопоставление частной конечной точки с профилем Azure Front Door
Создание частной конечной точки
В одном профиле Azure Front Door, если создаются два или более Приватный канал источников с одинаковым набором Приватный канал, идентификатором ресурса и идентификатором группы, то для всех таких источников создается только одна частная конечная точка. Подключения к серверной части можно включить с помощью этой частной конечной точки. Эта настройка означает, что необходимо утвердить частную конечную точку только один раз, так как создается только одна частная конечная точка. Если вы создаете более Приватный канал включенные источники с помощью того же набора Приватный канал расположения, идентификатора ресурса и идентификатора группы, вам больше не нужно утверждать частные конечные точки.
Отдельная частная конечная точка
Например, одна частная конечная точка создается для всех разных источников в разных группах источников, но в одном профиле Azure Front Door, как показано в следующей таблице:
Несколько частных конечных точек
Новая частная конечная точка создается в следующем сценарии:
Если регион, идентификатор ресурса или идентификатор группы изменяется:
Примечание.
Расположение Приватный канал и имя узла изменились, что привело к созданию дополнительных частных конечных точек и требует утверждения для каждого из них.
При изменении профиля Azure Front Door:
Примечание.
Включение Приватный канал для источников в разных профилях Front Door создаст дополнительные частные конечные точки и требует утверждения для каждого из них.
Удаление частной конечной точки
При удалении профиля Azure Front Door частные конечные точки, связанные с профилем, также удаляются.
Отдельная частная конечная точка
Если AFD-Profile-1 удаляется, то частная конечная точка PE1 во всех источниках также удаляется.
Несколько частных конечных точек
Если AFD-Profile-1 удаляется, все частные конечные точки из PE1 до PE4 удаляются.
Удаление профиля Azure Front Door не влияет на частные конечные точки, созданные для другого профиля Front Door.
Например:
- Если AFD-Profile-2 удаляется, удаляется только PE5.
- Если AFD-Profile-3 удаляется, удаляется только PE6.
- Если AFD-Profile-4 удаляется, удаляется только PE7.
- Если AFD-Profile-5 удаляется, удаляется только PE8.
Доступность по регионам
Приватный канал Azure Front Door доступен в следующих регионах:
| Северная и Южная Америка | Европа | Африка | Азиатско-Тихоокеанский регион |
|---|---|---|---|
| Brazil South | Центральная Франция | Северная часть ЮАР | Восточная Австралия |
| Центральная Канада | Центрально-Западная Германия | Центральная Индия | |
| Центральная часть США | Северная Европа | Восточная Япония | |
| Восточная часть США | Восточная Норвегия; | Республика Корея, центральный регион | |
| Восточная часть США 2 | южная часть Соединенного Королевства | Восточная Азия | |
| Центрально-южная часть США | Западная Европа | ||
| Западная часть США — 3 | Центральная Швеция | ||
| US Gov (Аризона) | |||
| US Gov (Техас) |
Ограничения
Поддержка прямого подключения к частной конечной точке в настоящее время ограничена:
- Хранилище BLOB-объектов
- Веб-приложение
- Внутренние подсистемы балансировки нагрузки или любые службы, предоставляющие внутренние подсистемы балансировки нагрузки, такие как Служба Azure Kubernetes, приложения контейнеров Azure или Azure Red Hat OpenShift
- Статический веб-сайт хранилища
- Шлюз приложений (предварительная версия только в PowerShell и CLI. Не используйте в рабочих средах)
- Управление API (предварительная версия только в PowerShell и CLI. Не используйте в рабочих средах)
Примечание.
- Эта функция не поддерживается с приложение Azure слотами службы или функциями.
- Шлюз приложений Azure и интеграции управления APIM в настоящее время не поддерживаются с помощью портал Azure.
Функция Приватного канала Azure Front Door не зависит от региона, но для минимальной задержки всегда следует выбирать ближайший к источнику регион Azure при включении конечной точки Приватного канала Azure Front Door.
Следующие шаги
- Узнайте, как подключить Azure Front Door Premium к источнику веб-приложения с помощью Приватный канал.
- Узнайте, как подключать Azure Front Door ценовой категории "Премиум" к источнику учетной записи хранения с помощью Приватного канала.
- Узнайте, как подключать Azure Front Door ценовой категории "Премиум" к источнику внутренней подсистемы балансировки нагрузки с помощью Приватного канала.
- Узнайте, как подключить Azure Front Door Premium к источнику статического веб-сайта хранилища с помощью Приватный канал.
- Узнайте, как подключить Azure Front Door Premium к источнику шлюза приложений с помощью Приватный канал.
- Узнайте, как подключить Azure Front Door Premium к источнику Управление API с помощью Приватный канал