Verbinden von Azure Front Door Premium mit Azure Application Gateway mit Private Link (Vorschau)

In diesem Artikel finden Sie einen Leitfaden für das Konfigurieren von Azure Front Door Premium, um mithilfe von Azure Private Link eine private Verbindung mit Azure Application Gateway herzustellen.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

• Azure PowerShell (lokale Installation) oder Azure Cloud Shell.

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Azure Cloud Shell

Azure hostet Azure Cloud Shell, eine interaktive Shell-Umgebung, die Sie über Ihren Browser nutzen können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure-Diensten zu arbeiten. Sie können die vorinstallierten Befehle von Cloud Shell verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.

Starten von Azure Cloud Shell:

Option	Beispiel/Link
Wählen Sie rechts oben in einem Code- oder Befehlsblock die Option Ausprobieren aus. Durch die Auswahl von Ausprobieren wird der Code oder Befehl nicht automatisch in Cloud Shell kopiert.
Rufen Sie https://shell.azure.com auf, oder klicken Sie auf die Schaltfläche Cloud Shell starten, um Cloud Shell im Browser zu öffnen.
Wählen Sie im Azure-Portal rechts oben im Menü die Schaltfläche Cloud Shell aus.

So verwenden Sie Azure Cloud Shell:

1. Starten Sie Cloud Shell.

2. Wählen Sie die Schaltfläche Kopieren für einen Codeblock (oder Befehlsblock) aus, um den Code oder Befehl zu kopieren.

3. Fügen Sie den Code oder Befehl mit STRG+UMSCHALT+V unter Windows und Linux oder CMD+UMSCHALT+V unter macOS in die Cloud Shell-Sitzung ein.

4. Drücken Sie die EINGABETASTE, um den Code oder Befehl auszuführen.

• Sie benötigen ein funktionierendes Azure Front Door Premium-Profil und einen Endpunkt. Weitere Informationen zum Erstellen eines Azure Front Door-Profils finden Sie unter Erstellen einer Front Door-Instanz: PowerShell.

• Sie verfügen über eine funktionierende Instanz von Azure Application Gateway. Weitere Informationen zum Erstellen eines Anwendungsgateways finden Sie unter Weiterleiten von Webdatenverkehr per Azure Application Gateway mithilfe von Azure PowerShell.

Aktivieren privater Konnektivität mit Azure Application Gateway

Befolgen Sie die Anweisungen unter Konfigurieren von Azure Application Gateway mit Private Link, aber führen Sie nicht den letzten Schritt zum Erstellen eines privaten Endpunkts aus.

Erstellen einer Ursprungsgruppe und Hinzufügen des Anwendungsgateways als Ursprung

1. Verwenden Sie New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject, um ein Speicherobjekt zum Speichern der Integritätstesteinstellungen zu erstellen.

   $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
       -ProbeIntervalInSecond 60 `
       -ProbePath "/" `
       -ProbeRequestType GET `
       -ProbeProtocol Http
   

2. Verwenden Sie New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject, um ein Speicherobjekt zum Speichern von Lastenausgleichseinstellungen zu erstellen.

   $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
       -AdditionalLatencyInMillisecond 50 `
       -SampleSize 4 `
       -SuccessfulSamplesRequired 3
   

3. Führen Sie New-AzFrontDoorCdnOriginGroup aus, um eine Ursprungsgruppe zu erstellen, die Ihr Anwendungsgateway enthält.

   $origingroup = New-AzFrontDoorCdnOriginGroup `
       -OriginGroupName myOriginGroup `
       -ProfileName myFrontDoorProfile `
       -ResourceGroupName myResourceGroup `
       -HealthProbeSetting $healthProbeSetting `
       -LoadBalancingSetting $loadBalancingSetting
   

4. Rufen Sie den Namen der Front-End-IP-Konfiguration des Anwendungsgateways mit dem Befehl Get-AzApplicationGatewayFrontendIPConfig ab.

   $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
   $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
   $FrontEndIPs.name
   

5. Verwenden Sie den Befehl New-AzFrontDoorCdnOrigin, um Ihr Anwendungsgateway der Ursprungsgruppe hinzuzufügen.

   New-AzFrontDoorCdnOrigin ` 
       -OriginGroupName myOriginGroup ` 
       -OriginName myAppGatewayOrigin ` 
       -ProfileName myFrontDoorProfile ` 
       -ResourceGroupName myResourceGroup ` 
       -HostName 10.0.0.4 ` 
       -HttpPort 80 ` 
       -HttpsPort 443 ` 
       -OriginHostHeader 10.0.0.4 ` 
       -Priority 1 ` 
       -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
       -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
       -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
       -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
       -Weight 1000 `
   

   Hinweis

   SharedPrivateLinkResourceGroupId ist der Name der Front-End-IP-Konfiguration von Azure Application Gateway.

Genehmigen des privaten Endpunkts

1. Führen Sie Get-AzPrivateEndpointConnection aus, um den Namen der Verbindung mit dem privaten Endpunkt abzurufen, die eine Genehmigung erfordert.

   Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

2. Führen Sie Approve-AzPrivateEndpointConnection aus, um die Details der Verbindung mit dem privaten Endpunkt zu genehmigen. Verwenden Sie den Wert Name aus der Ausgabe im letzten Schritt, um die Verbindung zu genehmigen.

   Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

Vollständige Einrichtung von Azure Front Door

Verwenden Sie den Befehl New-AzFrontDoorCdnRoute, um eine Route zu erstellen, die Ihren Endpunkt der Ursprungsgruppe zuordnet. Diese Route leitet Anforderungen vom Endpunkt an Ihre Ursprungsgruppe weiter.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Ihr Azure Front Door-Profil ist jetzt vollständig funktionsfähig, nachdem Sie den letzten Schritt abgeschlossen haben.

Voraussetzungen

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

  • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

• Ein funktionierendes Azure Front Door Premium-Profil und ein Endpunkt. Weitere Informationen finden Sie unter Erstellen einer Front Door-Instanz: CLI.

• Eine funktionierende Azure Application Gateway-Instanz. Weitere Informationen finden Sie unter Weiterleiten von Webdatenverkehr mit Azure Application Gateway: Azure-Befehlszeilenschnittstelle.

Aktivieren privater Konnektivität mit Azure Application Gateway

Führen Sie die Schritte unter Konfigurieren von Azure Application Gateway mit Private Link aus, aber lassen Sie den letzten Schritt zum Erstellen eines privaten Endpunkts aus.

Erstellen einer Ursprungsgruppe und Hinzufügen des Anwendungsgateways als Ursprung

1. Führen Sie az afd origin-group create aus, um eine Ursprungsgruppe zu erstellen.

   az afd origin-group create \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --profile-name myFrontDoorProfile \
       --probe-request-type GET \
       --probe-protocol Http \
       --probe-interval-in-seconds 60 \
       --probe-path / \
       --sample-size 4 \
       --successful-samples-required 3 \
       --additional-latency-in-milliseconds 50
   

2. Führen Sie az network application-gaeay frontend-ip list aus, um den Namen der Front-End-IP-Konfiguration des Anwendungsgateways abzurufen.

   az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup
   

3. Führen Sie az afd origin create aus, um der Ursprungsgruppe ein Anwendungsgateway als Ursprung hinzuzufügen.

   az afd origin create \
       --enabled-state Enabled \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --origin-name myAppGatewayOrigin \
       --profile-name myFrontDoorProfile \
       --host-name 10.0.0.4 \
       --origin-host-header 10.0.0.4 \
       --http-port 80  \
       --https-port 443 \
       --priority 1 \
       --weight 500 \
       --enable-private-link true \
       --private-link-location centralus \
       --private-link-request-message 'Azure Front Door private connectivity request.' \
       --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
       --private-link-sub-resource-type myAppGatewayFrontendIPName
   

   Hinweis

   private-link-sub-resource-type ist der Name der Front-End-IP-Konfiguration von Azure Application Gateway.

Genehmigen der Verbindung mit einem privaten Endpunkt

1. Führen Sie az network private-endpoint-connection list aus, um die ID der Verbindung mit dem privaten Endpunkt abzurufen, die eine Genehmigung benötigt.

   az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways
   

2. Führen Sie az network private-endpoint-connection approve aus, um die Verbindung mit dem privaten Endpunkt anhand der ID aus dem letzten Schritt zu genehmigen.

   az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
   

Vollständige Einrichtung von Azure Front Door

Führen Sie az afd route create aus, um eine Route zu erstellen, die Ihren Endpunkt der Ursprungsgruppe zuordnet. Diese Route leitet Anforderungen vom Endpunkt an Ihre Ursprungsgruppe weiter.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

Ihr Azure Front Door-Profil ist jetzt vollständig funktionsfähig, nachdem Sie den letzten Schritt abgeschlossen haben.

Häufige Fehler, um zu vermeiden

Im Folgenden finden Sie häufige Fehler beim Konfigurieren eines Azure Application Gateway-Ursprungs mit aktiviertem Azure Private Link:

1. Der Azure Front Door-Ursprung wurde vor dem Konfigurieren von Azure Private Link in Azure Application Gateway konfiguriert.

2. Der Azure Application Gateway-Ursprung mit Azure Private Link wurde einer vorhandenen Ursprungsgruppe hinzugefügt, die öffentliche Ursprünge enthält. Azure Front Door lässt das Kombinieren öffentlicher und privater Ursprünge in derselben Ursprungsgruppe nicht zu.

3. Es wurde ein falscher Name für die Front-End-IP-Konfiguration für Azure Application Gateway als Wert für SharedPrivateLinkResourceGroupId angegeben.

3. Es wurde ein falscher Name für die Front-End-IP-Konfiguration für Azure Application Gateway als Wert für private-link-sub-resource-type angegeben.

Nächste Schritte

Verwenden privater Endpunkte für Azure Storage