在 Azure Front Door 進階版中使用 Private Link 保護原點

  • 發行項

Azure Private Link 可讓您透過虛擬網路中的私人端點,來存取 Azure PaaS 服務和在 Azure 中託管的服務。 虛擬網路與服務間的流量會透過 Microsoft 骨幹網路周遊,以降低將資料公開到公用網際網路的風險。

Azure Front Door 進階版可以使用 Private Link 連線到原點。 原點可以託管在虛擬網路中,或託管為 PaaS 服務,例如 Azure Web 應用程式或 Azure 儲存體。 Private Link 會免除原點遭公開存取的需求。

已啟用 Private Link 的 Azure Front Door 圖表。

當您在 Azure Front Door 進階版中啟用原點的 Private Link 時,Front Door 會代表您從 Azure Front Door 受控的區域私人網路建立私人端點。 您會在擱置核准的原點收到 Azure Front Door 私人端點要求。

重要

您必須核准私人端點連線,流量才能私下傳遞至原點。 您可以使用 Azure 入口網站、Azure CLI 或 Azure PowerShell 來核准私人端點連線。 如需詳細資訊,請參閱管理私人端點連線

啟用 Private Link 原點並核准私人端點連線之後,連線可能需要幾分鐘的時間才能建立。 在此期間,原點的要求會收到 Azure Front Door 錯誤訊息。 建立連線之後,錯誤訊息就會消失。

一旦核准要求,就會從 Azure Front Door 受控虛擬網路指派私人 IP 位址。 Azure Front Door 與原點之間的流量會透過 Microsoft 骨幹網路使用已建立的私人連結進行通訊。 抵達 Azure Front Door 時,原點的傳入流量現在會受到保護。

從原始設定頁面啟用 Private Link 服務複選框的螢幕快照。

私人端點與 Azure Front Door 設定檔的關聯

建立私人端點

在單一 Azure Front Door 設定檔中,如果建立兩個或多個已啟用 Private Link 且具有同一組 Private Link、資源識別碼和群組識別碼的原點,則只會針對所有這類原點建立一個私人端點。 您可使用此私人端點來啟用後端的連線。 此設定表示您只需要核准私人端點一次,因為只會建立一個私人端點。 如果您使用同一組 Private Link 位置、資源識別碼和群組識別碼來建立更多已啟用 Private Link 的原點,您就不再需要核准私人端點。

單一私人端點

例如,針對不同原點群組但在相同 Azure Front Door 設定檔中的所有不同原點,建立單一私人端點,如下表所示:

此圖顯示針對在相同 Azure Front Door 配置檔中建立之來源所建立的單一私人端點。

多個私人端點

下列情節中會建立新的私人端點:

  • 如果區域、資源識別碼或群組識別碼變更:

    此圖顯示建立的多個私人端點,因為來源的區域和資源標識符變更。

    注意

    Private Link 位置和主機名稱已變更,導致建立額外的私人端點,且每個端點都需要核准。

  • 當 Azure Front Door 設定檔變更時:

    顯示建立多個私人端點的圖表,因為來源與多個 Azure Front Door 配置文件相關聯。

    注意

    針對不同 Front Door 設定檔中的原點啟用 Private Link 將會建立額外的私人端點,而且每個端點都需要。

私人端點移除

刪除 Azure Front Door 設定檔時,也會刪除與設定檔相關聯的私人端點。

單一私人端點

如果 AFD-Profile-1 遭到刪除,則也會刪除所有原點的 PE1 私人端點。

此圖顯示如果 AFD-Profile-1 已刪除,則會刪除所有來源的 PE1。

多個私人端點

  • 如果 AFD-Profile-1 遭到刪除,將會刪除 PE1 到 PE4 的所有私人端點。

    此圖顯示 AFD-Profile-1 是否已刪除,則會刪除 PE1 到 PE4 的所有私人端點。

  • 刪除 Front Door 設定檔不會影響針對不同 Front Door 設定檔建立的私人端點。

    顯示刪除 Azure Front Door 設定檔的圖表不會影響其他 Front Door 設定檔中的私人端點。

    例如:

    • 如果 AFD-Profile-2 遭到刪除,則只會移除 PE5。
    • 如果 AFD-Profile-3 遭到刪除,則只會移除 PE6。
    • 如果 AFD-Profile-4 遭到刪除,則只會移除 PE7。
    • 如果 AFD-Profile-5 遭到刪除,則只會移除 PE8。

區域可用性

Azure Front Door 私人連結可在下列區域中使用:

美洲 歐洲 非洲 亞太地區
巴西南部 法國中部 南非北部 澳大利亞東部
加拿大中部 德國中西部 印度中部
美國中部 北歐 日本東部
美國東部 挪威東部 南韓中部
美國東部 2 英國南部 東亞
美國中南部 西歐
美國西部 3 瑞典中部
US Gov 亞利桑那州
US Gov 德克薩斯州

限制

直接私人端點連線的來源支援目前僅限於:

  • Blob 儲存體
  • Web App
  • 內部負載平衡器或任何公開內部負載平衡器的服務,例如 Azure Kubernetes Service、Azure Container Apps 或 Azure Red Hat OpenShift
  • 儲存體靜態網站

注意

App Service 位置和函式不支援此功能

Azure Front Door Private Link 功能與區域無關,但為了達到最佳延遲效果,當您選擇啟用 Azure Front Door Private Link 端點時,應該一律挑選最接近來源的 Azure 區域。

下一步