你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于: ✔️ Front Door Premium
使用 Azure 专用链接,可以通过虚拟网络中的专用终结点访问 Azure PaaS 服务和托管在 Azure 中的服务。 虚拟网络与服务之间的流量将通过 Microsoft 主干网络,因此不会向公共 Internet 泄露。
Azure Front Door 高级版可使用专用链接连接到源。 源可托管在虚拟网络中,也可作为 PaaS 服务(例如 Azure Web 应用或 Azure 存储)托管。 使用专用链接就无需公开访问原点。
专用链接的工作原理
在 Azure Front Door 高级版中启用指向源的专用链接时,Front Door 将以用户身份从 Azure Front Door 托管的区域专用网络创建一个专用终结点。 你在原点收到一个等待审批的 Azure Front Door 专用终结点请求。
必须先批准专用终结点连接,然后流量才能以非公开方式传递到源。 可使用 Azure 门户、Azure CLI 或 Azure PowerShell 来批准专用终结点连接。 有关详细信息,请参阅管理专用终结点连接。
在为专用链接启用源并批准专用终结点连接后,可能需要几分钟时间才能建立连接。 在此期间,对原点的请求将收到 Azure Front Door 错误消息。 建立连接后,错误消息将消失。
请求获得批准后,会分配一个专用私有终结点,通过 Azure Front Door 托管虚拟网络来路由您的流量。 来自客户端的流量将到达 Azure Front Door 全局 POP 点,然后通过 Microsoft 主干网络路由到 AFD 区域群集,后者托管着包含专用终结点的托管虚拟网络。 然后,通过专用链接平台,流量通过 Microsoft 主干网络路由到源。 因此,流向源的传入流量在到达 Azure Front Door 的那一刻就得到保护。
注意
- 此功能仅支持通过专用链接从您的 AFD 连接到您的源站。 不支持客户端到 AFD 的专用连接。
支持的源
对直接专用终结点连接的源支持目前仅限于以下源类型。
| 来源类型 | 文档 |
|---|---|
| 应用服务 (Web 应用,函数应用) | 使用私有链接将 AFD 连接到 Web 应用/函数应用源站。 |
| Blob 存储 | 使用专用链接将 AFD 连接到存储帐户源。 |
| 存储静态网站 | 使用专用链接将 AFD 连接到存储静态网站源。 |
| 内部负载均衡器或任何公开内部负载均衡器的服务,例如 Azure Kubernetes 服务或 Azure Red Hat OpenShift | 使用专用链接将 AFD 连接到内部负载均衡器源。 |
| API Management | 使用专用链接将 AFD 连接到 API 管理源。 |
| 应用程序网关 | 使用专用链接将 AFD 连接到应用程序网关源。 |
| Azure 容器应用 | 使用专用链接将 AFD 连接到 Azure 容器应用源。 |
注意
- Azure 应用服务插槽和 Azure 静态 Web 应用程序不支持此功能。
上市区域
Azure Front Door 专用终结点链接在以下区域可用:
| 美洲 | 欧洲 | 非洲 | 亚太 |
|---|---|---|---|
| 巴西南部 | 法国中部 | 南非北部 | 澳大利亚东部 |
| 加拿大中部 | 德国中西部 | 印度中部 | |
| 美国中部 | 北欧 | 日本东部 | |
| 美国东部 | 挪威东部 | 韩国中部 | |
| 美国东部 2 | 英国南部 | 东亚 | |
| 美国中南部 | 西欧 | 东南亚 | |
| 美国西部 2 | 瑞典中部 | ||
| 美国西部 3 | |||
| US Gov 亚利桑那州 | |||
| US Gov 德克萨斯州 | |||
| US Gov 弗吉尼亚州 |
Azure Front Door 专用链接功能与区域无关,但为了获得最佳延迟,在选择启用 Azure Front Door 专用链接终结点时,应始终选择离源最近的 Azure 区域。 如果在 AFD 专用链接支持的区域列表中你的源区域不受支持,请选择下一个最近的区域。 可以使用 Azure 网络往返延迟统计信息来确定下一个最接近的区域(根据延迟来确定)。
使用 AFD 专用链接集成时的提示
- Azure Front Door 不允许在同一源组中混合公共和专用源。 这样做可能会导致配置期间或 AFD 尝试将流量发送到公共/专用源时出错。 将所有公共源保留在单个源组中,并将所有专用源保存在不同的源组中。
- 改进冗余:
- 若要提高源级别的冗余,请确保在同一源组中启用了多个专用链接的源,以便 AFD 可以在应用程序的多个实例之间分配流量。 如果一个实例不可用,则其他源仍可以接收流量。
- 若要路由专用链接流量,请求将从 AFD POP 路由到 AFD 区域群集中托管的 AFD 托管虚拟网络。 若要在无法访问区域群集的情况下具有冗余,建议在同一 AFD 源组下配置多个源(每个源具有不同的专用链接区域)。 这样,即使一个区域群集不可用,其他源仍可以通过其他区域群集接收流量。 下面展示了一个具备源级别和区域级别冗余的源组的样子。
- 在批准专用终结点连接或批准专用终结点连接后,如果双击专用终结点,则会看到一条错误消息,指出“你没有访问权限。 复制错误详细信息并将其发送给一个或多个管理员,以获取此页面的访问权限。这是意料之中的,因为专用终结点托管在由 Azure Front Door 管理的订阅中。
- 对于平台保护,每个 AFD 区域群集的每个 AFD 配置文件的限制为 7200 RPS(每秒请求数)。 超过 7200 RPS 的请求速率将受到限制,“429 请求过多”。 如果要载入或预期流量超过 7200 RPS,我们建议部署多个源(每个源具有不同的专用链接区域),以便流量分布在多个 AFD 区域群集中。 建议每个源是应用程序的单独实例,以提高源级别冗余。 但是,如果无法维护单独的实例,则仍然可以在 AFD 级别配置多个源,每个源指向同一主机名,但区域保持不变。 这样,AFD 会将流量路由到同一实例,但通过不同的区域群集。
专用终结点与 Azure Front Door 配置文件的关联
创建专用终结点
在单个 Azure Front Door 配置文件中,如果使用同一组资源 ID、组 ID 和区域创建两个或多个启用了专用链接的源,则所有此类源仅创建一个专用终结点。 可使用此专用终结点启用与后端的连接。 此设置意味着只需批准专用终结点一次,因为只创建一个专用终结点。 如果使用同一组专用链接位置、资源 ID 和组 ID 创建更多启用了专用链接的源,则无需再批准任何专用终结点。
警告
如果每个源使用不同的 HTTP 或 HTTPS 端口,请避免配置多个启用专用链接的源,这些源指向同一资源(具有相同的资源 ID、组 ID 和区域)。 由于平台限制,此设置可能会导致 Front Door 和源之间的路由问题。
单个专用终结点
例如,为不同原点组中但位于同一 Azure Front Door 配置文件中的所有不同原点创建单个专用终结点,如下表所示:
多个专用终结点
在以下场景会创建一个新的专用终结点:
如果区域、资源 ID 或组 ID 发生更改,AFD 会考虑专用链接位置和主机名已更改,导致创建额外的专用终结点,需要批准每个终结点。
为多个不同的 Front Door 配置文件中的源点启用专用链接时,将创建额外的专用终结点,并且每个终结点都需要获得批准。
专用终结点删除
删除 Azure Front Door 配置文件时,也会删除与该配置文件关联的专用终结点。
单个专用终结点
如果删除 AFD-Profile-1,则所有原点中的 PE1 专用终结点也会被删除。
多个专用终结点
如果删除 AFD-Profile-1,则从 PE1 到 PE4 的所有专用终结点都会被删除。
删除 Azure Front Door 配置文件不会影响为其他 Front Door 配置文件创建的专用终结点。
例如:
- 如果删除 AFD-Profile-2,则仅删除 PE5。
- 如果删除 AFD-Profile-3,则仅删除 PE6。
- 如果删除 AFD-Profile-4,则仅删除 PE7。
- 如果删除 AFD-Profile-5,则仅删除 PE8。
后续步骤
- 了解如何使用专用链接将 Azure Front Door Premium 连接到 Web 应用源。
- 了解如何使用专用链接将 Azure Front Door 高级版连接到存储帐户源。
- 了解如何使用专用链接将 Azure Front Door 高级版连接到内部负载均衡器源。
- 了解如何使用专用链接将 Azure Front Door Premium 连接到存储静态网站原点。
- 了解如何使用专用链接将 Azure Front Door Premium 连接到应用程序网关源。
- 了解如何使用专用链接将 Azure Front Door Premium 连接到 API 管理源。
- 了解如何使用专用链接将 Azure Front Door Premium 连接到 Azure 容器应用的源。