Conexión de Azure Front Door Premium a un origen de cuenta de almacenamiento con Private Link con la CLI de Azure

En este artículo se proporciona una guía paso a paso sobre cómo configurar Azure Front Door Premium para conectarse a la cuenta de almacenamiento de forma privada mediante Azure Private Link con la CLI de Azure.

Requisitos previos

• Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.

  

• Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.

  • Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.

  • En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.

  • Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.

Requisitos previos:

• Una suscripción a Azure activa. Crear una cuenta gratuita.
• Un perfil, un punto de conexión y un grupo de origen de Azure Front Door Premium en funcionamiento. Para obtener instrucciones de configuración, consulte Creación de una instancia de Front Door: CLI.
• Una cuenta de almacenamiento privada. Consulte esta documentación para obtener instrucciones.

Nota:

Los puntos de conexión privados requieren que la cuenta de almacenamiento cumpla requisitos específicos. Para más información, consulte Uso de puntos de conexión privados para Azure Storage.

Habilitación de Private Link para una cuenta de almacenamiento en Azure Front Door Premium

Ejecute el comando az afd origin create para crear un nuevo origen de Azure Front Door. Use los valores siguientes para configurar la cuenta de almacenamiento para la conexión privada. Asegúrese de que el private-link-location está en una de las regiones disponibles y que el private-link-sub-resource-type es blob.

az afd origin create --enabled-state Enabled \
                     --resource-group myRGFD \
                     --origin-group-name og1 \
                     --origin-name mystorageorigin \
                     --profile-name contosoAFD \
                     --host-name mystorage.blob.core.windows.net \
                     --origin-host-header mystorage.blob.core.windows.net \
                     --http-port 80 \
                     --https-port 443 \
                     --priority 1 \
                     --weight 500 \
                     --enable-private-link true \
                     --private-link-location EastUS \
                     --private-link-request-message 'AFD storage origin Private Link request.' \
                     --private-link-resource /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage \
                     --private-link-sub-resource-type blob 

Aprobación de la conexión de punto de conexión privado de Azure Front Door Premium desde Azure Storage

1. Ejecute el comando az network private-endpoint-connection list para enumerar las conexiones de punto de conexión privado de la cuenta de almacenamiento. Tenga en cuenta el Resource ID de la conexión de punto de conexión privado de la salida.

   az network private-endpoint-connection list --name mystorage --resource-group myRGFD --type Microsoft.Storage/storageAccounts
   

2. Ejecute el comando az network private-endpoint-connection approve para aprobar la conexión de punto de conexión privado.

   az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.00000000-0000-0000-0000-000000000000
   

3. Después de la aprobación, la conexión puede tardar unos minutos en establecerse completamente. Una vez establecido, Azure Front Door Premium puede acceder a la cuenta de almacenamiento. El acceso público a Internet a la cuenta de almacenamiento está deshabilitado una vez habilitado el punto de conexión privado.

Nota:

Si el blob o el contenedor de la cuenta de almacenamiento no permite el acceso anónimo, se deben autorizar las solicitudes. Una manera de autorizar solicitudes es usar firmas de acceso compartido.

Pasos siguientes

Más información sobre el servicio Private Link con la cuenta de almacenamiento.