在 Azure Front Door 進階版中使用 Private Link 保護原點
Azure Private Link 可讓您透過虛擬網路中的私人端點,來存取 Azure PaaS 服務和在 Azure 中託管的服務。 虛擬網路與服務間的流量會透過 Microsoft 骨幹網路周遊,以降低將資料公開到公用網際網路的風險。
Azure Front Door 進階版可以使用 Private Link 連線到原點。 原點可以託管在虛擬網路中,或託管為 PaaS 服務,例如 Azure Web 應用程式或 Azure 儲存體。 Private Link 會免除原點遭公開存取的需求。
Private Link 的運作方式
當您在 Azure Front Door 進階版中啟用原點的 Private Link 時,Front Door 會代表您從 Azure Front Door 受控的區域私人網路建立私人端點。 您會在擱置核准的原點收到 Azure Front Door 私人端點要求。
重要
您必須核准私人端點連線,流量才能私下傳遞至原點。 您可以使用 Azure 入口網站、Azure CLI 或 Azure PowerShell 來核准私人端點連線。 如需詳細資訊,請參閱管理私人端點連線。
啟用 Private Link 原點並核准私人端點連線之後,連線可能需要幾分鐘的時間才能建立。 在此期間,對原點的要求會收到 Azure Front Door 錯誤訊息。 一旦建立了連線,錯誤訊息就會消失。
一旦核准要求,就會從 Azure Front Door 受控虛擬網路指派私人 IP 位址。 Azure Front Door 與原點之間的流量會透過 Microsoft 骨幹網路使用已建立的私人連結進行通訊。 抵達 Azure Front Door 時,原點的傳入流量現在會受到保護。
私人端點與 Azure Front Door 設定檔的關聯
建立私人端點
在單一 Azure Front Door 設定檔中,如果建立兩個或多個已啟用 Private Link 且具有同一組 Private Link、資源識別碼和群組識別碼的原點,則只會針對所有這類原點建立一個私人端點。 您可使用此私人端點來啟用後端的連線。 此設定表示您只需要核准私人端點一次,因為只會建立一個私人端點。 如果您使用同一組 Private Link 位置、資源識別碼和群組識別碼來建立更多已啟用 Private Link 的原點,您就不再需要核准私人端點。
單一私人端點
例如,針對不同原點群組但在相同 Azure Front Door 設定檔中的所有不同原點,建立單一私人端點,如下表所示:
多個私人端點
下列情節中會建立新的私人端點:
如果區域、資源識別碼或群組識別碼變更:
注意
Private Link 位置和主機名稱已變更,導致建立額外的私人端點,且每個端點都需要核准。
當 Azure Front Door 設定檔變更時:
注意
針對不同 Front Door 設定檔中的原點啟用 Private Link 將會建立額外的私人端點,而且每個端點都需要。
私人端點移除
刪除 Azure Front Door 設定檔時,也會刪除與設定檔相關聯的私人端點。
單一私人端點
如果 AFD-Profile-1 遭到刪除,則所有原點中的 PE1 私人端點也會遭到刪除。
多個私人端點
如果 AFD-Profile-1 遭到刪除,PE1 到 PE4 的所有私人端點會遭到刪除。
刪除 Azure Front Door 設定檔不會影響針對不同 Front Door 設定檔建立的私人端點。
例如:
- 如果 AFD-Profile-2 遭到刪除,則只會移除 PE5。
- 如果 AFD-Profile-3 遭到刪除,則只會移除 PE6。
- 如果 AFD-Profile-4 遭到刪除,則只會移除 PE7。
- 如果 AFD-Profile-5 遭到刪除,則只會移除 PE8。
區域可用性
Azure Front Door 私人連結可在下列區域中使用:
| 美洲 | 歐洲 | 非洲 | 亞太地區 |
|---|---|---|---|
| 巴西南部 | 法國中部 | 南非北部 | 澳大利亞東部 |
| 加拿大中部 | 德國中西部 | 印度中部 | |
| 美國中部 | 北歐 | 日本東部 | |
| 美國東部 | 挪威東部 | 南韓中部 | |
| 美國東部 2 | 英國南部 | 東亞 | |
| 美國中南部 | 西歐 | ||
| 美國西部 3 | 瑞典中部 | ||
| US Gov 亞利桑那州 | |||
| US Gov 德克薩斯州 | |||
| US Gov 維吉尼亞州 |
限制
直接私人端點連線的來源支援目前僅限於:
- Blob 儲存體
- Web App
- 內部負載平衡器或任何公開內部負載平衡器的服務,例如 Azure Kubernetes Service、Azure Container Apps 或 Azure Red Hat OpenShift
- 儲存體靜態網站
- 應用程式閘道 (僅在 PowerShell 和 CLI 中預覽。請勿在實際執行環境中使用)
- API 管理 (僅在 PowerShell 和 CLI 中預覽。請勿在實際執行環境中使用)
注意
- Azure App Service 槽位或 Functions 不支援此功能。
- 目前不支援使用 Azure 入口網站進行 Azure 應用程式閘道與 APIM 管理整合。
Azure Front Door Private Link 功能與區域無關,但為了達到最佳延遲效果,當您選擇啟用 Azure Front Door Private Link 端點時,應該一律挑選最接近來源的 Azure 區域。
下一步
- 了解如何使用 Private Link 將 Azure Front Door 進階版連線到 Web 應用程式原點。
- 瞭解如何使用 Private Link 將 Azure Front Door 進階版連線到儲存體帳戶原點。
- 瞭解如何使用 Private Link 將 Azure Front Door 進階版連線至內部負載平衡器原點。
- 了解如何使用 Private Link 將 Azure Front Door 進階版連線到儲存體靜態網站原點。
- 了解如何使用 Private Link 將 Azure Front Door Premium 連線到應用程式閘道原點。
- 了解如何使用 Private Link 將 Azure Front Door Premium 連線到 API 管理原點