Připojení služby Azure Front Door Premium k bráně Aplikace Azure lication pomocí služby Private Link (Preview)

Tento článek vás provede postupem konfigurace služby Azure Front Door Premium pro privátní připojení ke službě Aplikace Azure lication Gateway pomocí služby Azure Private Link.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma

• Azure PowerShell je nainstalovaný místně nebo Azure Cloud Shell.

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Azure Cloud Shell

Azure hostí interaktivní prostředí Azure Cloud Shell, které můžete používat v prohlížeči. Pro práci se službami Azure můžete v prostředí Cloud Shell použít buď Bash, nebo PowerShell. Předinstalované příkazy Cloud Shellu můžete použít ke spuštění kódu v tomto článku, aniž byste museli instalovat cokoli do místního prostředí.

Spuštění služby Azure Cloud Shell:

Možnost	Příklad nebo odkaz
Vyberte Vyzkoušet v pravém horním rohu bloku kódu nebo příkazu. Výběrem možnosti Vyzkoušet se kód ani příkaz automaticky nekopíruje do Cloud Shellu.
Přejděte na adresu https://shell.azure.com nebo výběrem tlačítka Spustit Cloud Shell otevřete Cloud Shell v prohlížeči.
Zvolte tlačítko Cloud Shell v pruhu nabídky v pravém horním rohu webu Azure Portal.

Použití Azure Cloud Shellu:

1. Spusťte Cloud Shell.

2. Výběrem tlačítka Kopírovat v bloku kódu (nebo bloku příkazů) zkopírujte kód nebo příkaz.

3. Vložte kód nebo příkaz do relace Cloud Shellu tak, že ve Windows a Linuxu vyberete ctrl+Shift+V nebo vyberete Cmd+Shift+V v macOS.

4. Stisknutím klávesy Enter spusťte kód nebo příkaz.

• Máte funkční profil Služby Azure Front Door Premium a koncový bod. Další informace o tom, jak vytvořit profil služby Azure Front Door, najdete v tématu Vytvoření služby Front Door – PowerShell.

• Mají funkční Aplikace Azure lication Gateway. Další informace o tom, jak vytvořit službu Application Gateway, najdete v tématu Směrování webového provozu pomocí brány Aplikace Azure lication Gateway pomocí Azure PowerShellu.

Povolení privátního připojení ke službě Aplikace Azure lication Gateway

Postupujte podle pokynů v tématu Konfigurace Aplikace Azure lication Gateway Private Link, ale nedokončí poslední krok vytvoření privátního koncového bodu.

Vytvoření skupiny původu a přidání aplikační brány jako zdroje

1. Pomocí Rutiny New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject vytvořte objekt v paměti pro ukládání nastavení sondy stavu.

   $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
       -ProbeIntervalInSecond 60 `
       -ProbePath "/" `
       -ProbeRequestType GET `
       -ProbeProtocol Http
   

2. Pomocí Rutiny New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject vytvořte objekt v paměti pro ukládání nastavení vyrovnávání zatížení.

   $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
       -AdditionalLatencyInMillisecond 50 `
       -SampleSize 4 `
       -SuccessfulSamplesRequired 3
   

3. Spuštěním rutiny New-AzFrontDoorCdnOriginGroup vytvořte skupinu původu, která obsahuje vaši aplikační bránu.

   $origingroup = New-AzFrontDoorCdnOriginGroup `
       -OriginGroupName myOriginGroup `
       -ProfileName myFrontDoorProfile `
       -ResourceGroupName myResourceGroup `
       -HealthProbeSetting $healthProbeSetting `
       -LoadBalancingSetting $loadBalancingSetting
   

4. Získejte název konfigurace front-endové IP adresy služby Application Gateway pomocí příkazu Get-AzApplicationGatewayFrontendIPConfig .

   $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
   $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
   $FrontEndIPs.name
   

5. Pomocí příkazu New-AzFrontDoorCdnOrigin přidejte aplikační bránu do skupiny původu.

   New-AzFrontDoorCdnOrigin ` 
       -OriginGroupName myOriginGroup ` 
       -OriginName myAppGatewayOrigin ` 
       -ProfileName myFrontDoorProfile ` 
       -ResourceGroupName myResourceGroup ` 
       -HostName 10.0.0.4 ` 
       -HttpPort 80 ` 
       -HttpsPort 443 ` 
       -OriginHostHeader 10.0.0.4 ` 
       -Priority 1 ` 
       -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
       -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
       -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
       -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
       -Weight 1000 `
   

   Poznámka:

   SharedPrivateLinkResourceGroupIdje název konfigurace front-endové IP adresy front-endové brány Aplikace Azure lication.

Schválení privátního koncového bodu

1. Spuštěním rutiny Get-AzPrivateEndpointConnection načtěte název připojení připojení privátního koncového bodu, které vyžaduje schválení.

   Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

2. Spuštěním příkazu Approve-AzPrivateEndpointConnection schvalte podrobnosti připojení privátního koncového bodu. Ke schválení připojení použijte hodnotu Name z výstupu v předchozím kroku.

   Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

Dokončení nastavení služby Azure Front Door

Pomocí příkazu New-AzFrontDoorCdnRoute vytvořte trasu, která mapuje koncový bod na skupinu původu. Tato trasa předává požadavky z koncového bodu do vaší původní skupiny.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Váš profil služby Azure Front Door je teď po dokončení posledního kroku plně funkční.

Požadavky

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma

• Funkční profil a koncový bod služby Azure Front Door Premium. Viz Vytvoření služby Front Door – ROZHRANÍ příkazového řádku.

• Funkční Aplikace Azure lication Gateway. Viz Direct web traffic with Aplikace Azure lication Gateway – Azure CLI.

Povolení privátního připojení ke službě Aplikace Azure lication Gateway

Postupujte podle kroků v části Konfigurace Aplikace Azure lication Gateway Private Link a přeskočení posledního kroku vytvoření privátního koncového bodu.

Vytvoření skupiny původu a přidání aplikační brány jako zdroje

1. Spuštěním příkazu az afd origin-group create vytvořte skupinu původu.

   az afd origin-group create \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --profile-name myFrontDoorProfile \
       --probe-request-type GET \
       --probe-protocol Http \
       --probe-interval-in-seconds 60 \
       --probe-path / \
       --sample-size 4 \
       --successful-samples-required 3 \
       --additional-latency-in-milliseconds 50
   

2. Spuštěním příkazu az network application-gateway frontend-ip list získejte název konfigurace ip adresy front-endu služby Application Gateway.

   az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup
   

3. Spuštěním příkazu az afd origin create přidejte aplikační bránu jako zdroj do skupiny původu.

   az afd origin create \
       --enabled-state Enabled \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --origin-name myAppGatewayOrigin \
       --profile-name myFrontDoorProfile \
       --host-name 10.0.0.4 \
       --origin-host-header 10.0.0.4 \
       --http-port 80  \
       --https-port 443 \
       --priority 1 \
       --weight 500 \
       --enable-private-link true \
       --private-link-location centralus \
       --private-link-request-message 'Azure Front Door private connectivity request.' \
       --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
       --private-link-sub-resource-type myAppGatewayFrontendIPName
   

   Poznámka:

   private-link-sub-resource-typeje název konfigurace front-endové IP adresy brány Aplikace Azure lication.

Schválení připojení privátního koncového bodu

1. Spuštěním příkazu az network private-endpoint-connection list získejte ID připojení privátního koncového bodu, které vyžaduje schválení.

   az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways
   

2. Spusťte příkaz az network private-endpoint-connection approve to approve the private endpoint connection using the ID from the previous step.

   az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
   

Dokončení nastavení služby Azure Front Door

Spuštěním příkazu az afd route create vytvořte trasu, která mapuje koncový bod na skupinu původu. Tato trasa předává požadavky z koncového bodu do vaší původní skupiny.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

Váš profil služby Azure Front Door je teď po dokončení posledního kroku plně funkční.

Běžné chyby, kterým se chcete vyhnout

Při konfiguraci zdroje brány Aplikace Azure lication s povolenou službou Azure Private Link dochází k následujícím chybám:

1. Konfigurace původu služby Azure Front Door před konfigurací služby Azure Private Link na Aplikace Azure lication Gateway

2. Přidání zdroje brány Aplikace Azure lication s Azure Private Linkem do existující skupiny původu, která obsahuje veřejné zdroje Azure Front Door neumožňuje kombinování veřejných a privátních původů ve stejné skupině původu.

3. Zadání nesprávného názvu konfigurace IP adresy front-endu brány Aplikace Azure lication gateway jako hodnoty .SharedPrivateLinkResourceGroupId

3. Zadání nesprávného názvu konfigurace IP adresy front-endu brány Aplikace Azure lication gateway jako hodnoty .private-link-sub-resource-type

Další kroky

Přečtěte si o službě Private Link s účtem úložiště.