Freigeben über


Schützen des Ursprungs mit Private Link in Azure Front Door Premium

Mit Azure Private Link können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure-PaaS-Dienste sowie auf in Azure gehostete Dienste zugreifen. Der Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst wird über das Microsoft-Backbonenetzwerk übertragen und dadurch vom öffentlichen Internet isoliert.

Azure Front Door Premium kann über Private Link eine Verbindung mit Ihrem Ursprung herstellen. Ihr Ursprung kann in Ihrem privaten virtuellen Netzwerk oder als PaaS-Dienst wie Azure-Web-App oder Azure Storage gehostet werden. Mit Private Link wird die Notwendigkeit beseitigt, dass Ihr Ursprung öffentlich zugänglich ist.

Das Diagramm von Azure Front Door mit aktiviertem Private Link.

Wenn Sie Private Link für Ihren Ursprung in Azure Front Door Premium aktivieren, erstellt Front Door in Ihrem Namen einen privaten Endpunkt aus dem von verwalteten regionalen privaten Azure Front Door-Netzwerk. Sie erhalten eine Anforderung für einen privaten Azure Front Door-Endpunkt am Ursprung zur Genehmigung.

Wichtig

Sie müssen die Verbindung mit dem privaten Endpunkt genehmigen, damit der Datenverkehr privat an den Ursprung übertragen werden kann. Sie können Verbindungen mit privaten Endpunkten mithilfe des Azure-Portals, der Azure CLI oder mithilfe von Azure PowerShell genehmigen. Weitere Informationen finden Sie unter Verwalten einer Verbindung mit einem privaten Endpunkt.

Nachdem Sie einen Ursprung für Private Link aktiviert und die Verbindung mit dem privaten Endpunkt genehmigt haben, kann es einige Minuten dauern, bis die Verbindung hergestellt ist. Während dieser Zeit erhalten Anforderungen an den Ursprung eine Azure Front Door-Fehlermeldung. Sobald die Verbindung hergestellt ist, wird die Fehlermeldung nicht mehr angezeigt.

Nachdem Ihre Anforderung genehmigt wurde, wird eine private IP-Adresse aus dem verwalteten virtuellen Azure Front Door-Netzwerk zugewiesen. Der Datenverkehr zwischen Azure Front Door und Ihrem Ursprung kommuniziert mithilfe der eingerichteten privaten Verbindung über das Microsoft-Backbonenetzwerk. Eingehender Datenverkehr zu Ihrem Ursprung ist jetzt geschützt, wenn er bei Azure Front Door eingeht.

Der Screenshot des Kontrollkästchens zum Aktivieren des Private Link-Dienstes auf der Ursprungskonfigurationsseite.

Zuordnung eines privaten Endpunkts zu einem Azure Front Door-Profil

Erstellen des privaten Endpunkts

Wenn innerhalb eines einzelnen Azure Front Door-Profils mindestens zwei Private Link-fähige Ursprünge mit demselben Satz aus Private Link, Ressourcen-ID und Gruppen-ID erstellt werden, wird für alle diese Ursprünge nur ein privater Endpunkt erstellt. Verbindungen mit dem Back-End können über diesen privaten Endpunkt aktiviert werden. Dieses Setup bedeutet, dass Sie den privaten Endpunkt nur einmal genehmigen müssen, da nur ein privater Endpunkt erstellt wird. Wenn Sie mehr Private Link-fähige Ursprünge mit demselben Satz aus Private Link-Standort, Ressourcen-ID und Gruppen-ID erstellen, müssen Sie keine privaten Endpunkte mehr genehmigen.

Einzelner privater Endpunkt

So wird beispielsweise ein einzelner privater Endpunkt für alle verschiedenen Ursprünge in verschiedenen aber im selben Azure Front Door-Profil Ursprungsgruppen erstellt, wie in der folgenden Tabelle gezeigt:

Diagramm eines einzelnen privaten Endpunkts für alle im gleichen Azure Front Door-Profil erstellten Ursprünge.

Mehrere private Endpunkte

Im folgenden Szenario wird ein neuer privater Endpunkt erstellt:

  • Wenn sich die Region, die Ressourcen-ID oder die Gruppen-ID ändert:

    Diagramm mehrerer privater Endpunkte, die aufgrund von Änderungen an Region und Ressourcen-ID für den Ursprung erstellt werden.

    Hinweis

    Der Private Link-Standort und der Hostname wurden geändert, was dazu führt, dass zusätzliche private Endpunkte erstellt werden, die jeweils eine Genehmigung erfordern.

  • Wenn sich das Azure Front Door-Profil ändert:

    Diagramm mehrerer privater Endpunkte, die erstellt werden, weil der Ursprung mehreren Azure Front Door-Profilen zugeordnet ist.

    Hinweis

    Wenn Sie Private Link für Ursprünge in verschiedenen Front Door-Profilen aktivieren, werden zusätzliche private Endpunkte erstellt, die jeweils genehmigt werden müssen.

Entfernen privater Endpunkte

Wenn ein Azure Front Door-Profil gelöscht wird, werden auch die dem Profil zugeordneten privaten Endpunkte gelöscht.

Einzelner privater Endpunkt

Wird „AFD-Profil-1“ gelöscht, wird auch der private Endpunkt „PE1“ für alle Ursprünge gelöscht.

Diagramm, das zeigt, dass beim Löschen von „Azure Front Door-Profil-1“ auch „PE1“ für den gesamten Ursprung gelöscht wird.

Mehrere private Endpunkte

  • Wird „AFD-Profil-1“ gelöscht, werden auch alle privaten Endpunkte von „PE1“ bis „PE4“ gelöscht.

    Diagramm, das zeigt, dass bei Löschung von „Azure Front Door-Profil-1“ auch alle privaten Endpunkte von „PE1“ bis „PE4“ gelöscht werden.

  • Das Löschen eines Azure Front Door-Profils wirkt sich nicht auf private Endpunkte aus, die für ein anderes Front Door-Profil erstellt wurden.

    Diagramm, das zeigt, das sich das Löschen eines Azure Front Door-Profils nicht auf die privaten Endpunkte in anderen Front Door-Profilen auswirkt.

    Zum Beispiel:

    • Wird „AFD-Profil-2“ gelöscht, wird nur „PE5“ entfernt.
    • Wird „AFD-Profil-3“ gelöscht, wird nur „PE6“ entfernt.
    • Wird „AFD-Profil-4“ gelöscht, wird nur „PE7“ entfernt.
    • Wird „AFD-Profil-5“ gelöscht, wird nur „PE8“ entfernt.

Regionale Verfügbarkeit

Private Azure Front Door-Verbindungen sind in den folgenden Regionen verfügbar:

Amerika Europa Afrika Asien-Pazifik
Brasilien Süd Frankreich, Mitte Südafrika, Norden Australien (Osten)
Kanada, Mitte Deutschland, Westen-Mitte Indien, Mitte
USA (Mitte) Nordeuropa Japan, Osten
East US Norwegen, Osten Korea, Mitte
USA (Ost) 2 UK, Süden Asien, Osten
USA Süd Mitte Europa, Westen
USA, Westen 3 Schweden, Mitte
US Gov Arizona
US Gov Texas
US Government, Virginia

Begrenzungen

Die Ursprungsunterstützung für die direkte Konnektivität von privaten Endpunkten ist derzeit auf Folgendes beschränkt:

  • Blob Storage
  • Web App
  • Interne Lastenausgleichsmodule oder jedwede Dienste, die interne Lastenausgleichsmodule wie Azure Kubernetes Service, Azure Container Apps oder Azure Red Hat OpenShift verfügbar machen
  • Statische Speicherwebsite
  • Application Gateway (Vorschauversion nur in PowerShell und CLI. Verwenden Sie es nicht in Produktionsumgebungen)
  • API Management (Vorschauversion nur in PowerShell und CLI. Verwenden Sie es nicht in Produktionsumgebungen)
  • Azure Container Apps (Vorschauversion nur in Powershell und CLI. Verwenden Sie es nicht in Produktionsumgebungen)

Hinweis

  • Dieses Feature wird mit Azure App Service-Slots oder Functions nicht unterstützt.
  • Die Integration von Azure Application Gateway, APIM und Azure Container Apps wird derzeit nicht über das Azure-Portal unterstützt.

Das Private Link-Feature von Azure Front Door ist regionsunabhängig, aber für die beste Latenz sollten Sie immer eine Azure-Region wählen, die Ihrem Ursprung am nächsten ist, wenn Sie den Private Link-Endpunkt in Azure Front Door aktivieren.

Nächste Schritte