適用於: ✔️ Front Door Premium
本文將引導您了解如何使用 Azure Private Link 服務設定 Azure Front Door 進階版服務層級,以私密地連線到儲存體靜態網站。
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。 您可以免費建立帳戶。
- 為您的來源 Web 伺服器建立 Private Link 服務。
- 儲存體靜態網站會在您的儲存體帳戶上啟用。 了解如何啟用靜態網站。
對儲存體靜態網站啟用 Private Link
在此節中,您會將 Private Link 服務對應至在 Azure Front Door 的私人網路中建立的私人端點。
登入 Azure 入口網站。
在您 Azure Front Door 進階版設定檔內的 [Settings] \(設定\) 底下,選取 [Origin groups] \(來源群組\)。
選取來源群組,其中包含您想要為其啟用 Private Link 的儲存體靜態網站來源。
選取 [+ 新增來源] 以新增儲存體靜態網站來源,或從清單中選取先前建立的儲存體靜態網站來源。
下表提供在使用 Azure Front Door 啟用私人連結時,在個別欄位中應選取哪些值的資訊。 選取或輸入下列設定,以設定您希望 Azure Front Door 進階版以私密方式連線的儲存體靜態網站。
設定 值 名稱 輸入名稱以識別此儲存體靜態網站來源。 原點類型 儲存體 (靜態網站) 主機名稱 從下拉式清單中選取您想要作為來源的主機。 來源主機標題 您可以自訂來源的主機標頭,或將其保留為預設值。 HTTP 連接埠 80 (預設值) HTTPS 連接埠 443 (預設) 優先順序 不同的來源可以有不同的優先順序,來提供主要、次要和備份來源。 重量 1000 (預設)。 當您想要分散流量時,請將權數指派給不同的來源。 區域 選取與您來源相同或最接近的區域。 目標子資源 先前所選資源的子資源類型,您的私人端點可存取該資源。 您可以選取 Web 或 web_secondary。 要求訊息 核准私人端點時要查看的自訂訊息。 然後選取 [新增] 以儲存您的設定。 然後選取 [更新] 以儲存您的變更。
從儲存體帳戶核准私人端點連線
移至您想要私密地連線到 Azure Front Door 進階版的儲存體帳戶。 在 [設定] 底下,選取 [網路]。
在 [網路] 中選取 [私人端點連線]。
選取來自 Azure Front Door 進階版的擱置中私人端點要求,然後選取 [核准]。
核准之後,您可以看到私人端點連線狀態為 [已核准]。
建立 web_secondary 的私人端點連線
建立儲存體靜態網站次要子資源的私人端點連線時,您必須將 -secondary 尾碼新增至原始主機標頭。 例如,如果您的原始主機標頭為 contoso.z13.web.core.windows.net,您必須將它變更為 contoso-secondary.z13.web.core.windows.net。
新增來源並核准私人端點連線之後,您就可以測試與儲存體靜態網站的私人連結連線。
本文將引導您了解如何藉由 Azure CLI 使用 Azure Private Link 服務設定 Azure Front Door 進階版服務層級,以透過隱密方式連線到儲存體帳戶。
先決條件 - CLI
必要條件
在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊,請參閱開始使用 Azure Cloud Shell。
若要在本地執行 CLI 參考命令,請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行,請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊,請參閱〈如何在 Docker 容器中執行 Azure CLI〉。
如果您使用的是本機安裝,請使用 az login 命令,透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟,完成驗證程序。 如需其他登入選項,請參閱 使用 Azure CLI 向 Azure 進行驗證。
出現提示時,請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能的詳細資訊,請參閱 使用和管理 Azure CLI 的擴充功能。
執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本,請執行 az upgrade。
- 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
- 具有運作中的 Azure Front Door 進階版設定檔、端點和原始群組。 如需如何建立 Azure Front Door 設定檔的詳細資訊,請參閱建立 Front Door - CLI。
在 Azure Front Door 進階版中啟用儲存空間靜態網站的 Private Link
- 執行 az afd origin create 以建立新的 Azure Front Door 來源。 輸入下列設定,以設定您希望 Azure Front Door 進階版以私密方式連線的儲存體靜態網站。 請注意,
private-link-location必須位於其中一個可用的區域,而且private-link-sub-resource-type必須是 web。
az afd origin create --enabled-state Enabled \
--resource-group testRG \
--origin-group-name default-origin-group \
--origin-name pvtStaticSite \
--profile-name testAFD \
--host-name example.z13.web.core.windows.net\
--origin-host-header example.z13.web.core.windows.net\
--http-port 80 \
--https-port 443 \
--priority 1 \
--weight 500 \
--enable-private-link true \
--private-link-location EastUS \
--private-link-request-message 'AFD Storage static website origin Private Link request.' \
--private-link-resource /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/testRG/providers/Microsoft.Storage/storageAccounts/testingafdpl \
--private-link-sub-resource-type web
從儲存體帳戶核准私人端點連線
- 執行 az network private-endpoint-connection list 以列出儲存體帳戶的私人端點連線。 在輸出的第一行記下您儲存體帳戶中可用的私人端點連線的「資源 ID」。
az network private-endpoint-connection list -g testRG -n testingafdpl --type Microsoft.Storage/storageAccounts
- 執行 az network private-endpoint-connection approve 來核准私人端點連線。
az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/testRG/providers/Microsoft.Storage/storageAccounts/testingafdpl/privateEndpointConnections/testingafdpl.00000000-0000-0000-0000-000000000000
建立 Web_Secondary 的私人端點連線
建立儲存體靜態網站次要子資源的私人端點連線時,您必須將 -secondary 尾碼新增至原始主機標頭。 例如,如果您的來源主機標頭為 example.z13.web.core.windows.net,則需要將其變更為 example-secondary.z13.web.core.windows.net。
新增來源並核准私人端點連線之後,您就可以測試與儲存體靜態網站的私人連結連線。
要避免的常見錯誤
設定已啟用 Azure Private Link 的來源時,常見的錯誤如下:
- 將已啟用 Azure Private Link 的來源新增至包含公用來源的現有原始來源群組。 Azure Front Door 不允許在相同的來源群組中混合使用公用來源和私人來源。