Compartir vía


Proteja su origen con Private Link en Azure Front Door Premium

Azure Private Link le permite acceder a los servicios PaaS de Azure y a los servicios hospedados en Azure a través de un punto de conexión privado de la red virtual. El tráfico entre la red virtual y el servicio pasa por la red troncal de Microsoft y elimina la exposición a la red pública de Internet.

Azure Front Door Premium puede conectarse a su origen mediante Private Link. El origen se puede hospedar en la red virtual o como un servicio PaaS, como Azure Web App o Azure Storage. Private Link elimina la necesidad de que el origen sea accesible públicamente.

Diagrama de Azure Front Door con Private Link habilitado.

Al habilitar Private Link para su origen en Azure Front Door Premium, Front Door crea un punto de conexión privado en su nombre desde una red privada regional administrada por Azure Front Door. Recibirá una solicitud de punto de conexión privado de Azure Front Door en el origen pendiente de aprobación.

Importante

Debe aprobar la conexión del punto de conexión privado antes de que el tráfico pase al origen de forma privada. Puede aprobar las conexiones de punto de conexión privado mediante Azure Portal, la CLI de Azure o Azure PowerShell. Para más información, consulte Administración de una conexión de punto de conexión privado.

Una vez habilitado un origen de Private Link y aprobada la conexión del punto de conexión privado, la conexión puede tardar unos minutos en establecerse. Durante este tiempo, las solicitudes al origen recibirán un mensaje de error de Azure Front Door. El mensaje de error desaparecerá una vez establecida la conexión.

Una vez aprobada la solicitud, se asigna una dirección IP privada desde la red virtual administrada por Azure Front Door. El tráfico entre Azure Front Door y el origen se comunicará mediante el vínculo privado establecido a través de la red troncal de Microsoft. Ahora, el tráfico entrante que se dirige a su origen está protegido cuando llega a Azure Front Door.

Captura de pantalla con la casilla Habilitar servicio Private Link de la página de configuración del origen.

Asociación de un punto de conexión privado con un perfil de Azure Front Door

Creación del punto de conexión privado

Dentro de un único perfil de Azure Front Door, si se crean dos o más orígenes habilitados para Private Link con el mismo conjunto de Private Link, identificador de recurso e identificador de grupo, para todos estos orígenes solo se crea un punto de conexión privado. Las conexiones al back-end se pueden habilitar mediante este punto de conexión privado. Esta configuración significa que solo tiene que aprobar el punto de conexión privado una vez porque solo se crea un punto de conexión privado. Si crea más orígenes habilitados para Private Link con el mismo conjunto de ubicación, identificador de recurso e identificador de grupo de Private Link, no tendrá que aprobar más puntos de conexión privados.

Punto de conexión privado único

Por ejemplo, se crea un único punto de conexión privado para todos los distintos orígenes en distintos grupos de orígenes, pero en el mismo perfil de Azure Front Door, como se muestra en la tabla siguiente:

Diagrama que muestra un único punto de conexión privado creado para los orígenes creados en el mismo perfil de Azure Front Door.

Múltiples puntos de conexión privados

Se crea un nuevo punto de conexión privado en el escenario siguiente:

  • Si cambia la región, el identificador de recurso o el identificador de grupo:

    Diagrama que muestra un punto de conexión privado múltiple creado porque cambia la región y el identificador de recurso para el origen.

    Nota:

    La ubicación y el nombre de host de Private Link han cambiado, lo que da lugar a la creación de puntos de conexión privados adicionales; se requiere aprobación para cada uno de ellos.

  • Cuando cambia el perfil de Azure Front Door:

    Diagrama que muestra la creación de un punto de conexión privado múltiple porque el origen está asociado a varios perfiles de Azure Front Door.

    Nota

    La habilitación de Private Link para orígenes en diferentes perfiles de Front Door creará puntos de conexión privados adicionales, y se requiere aprobación para cada uno.

Eliminación del punto de conexión privado

Cuando se elimina un perfil de Azure Front Door, también se eliminarán los puntos de conexión privados asociados al perfil.

Punto de conexión privado único

Si se elimina AFD-Profile-1, también se eliminará el punto de conexión privado PE1 en todos los orígenes.

Diagrama que muestra que si se elimina AFD-Profile-1, se eliminará PE1 de todos los orígenes.

Múltiples puntos de conexión privados

  • Si se elimina AFD-Profile-1, se eliminarán todos los puntos de conexión privados de PE1 a PE4.

    Diagrama que muestra si se elimina AFD-Profile-1, se eliminan todos los puntos de conexión privados de PE1 a PE4.

  • La eliminación de un perfil de Azure Front Door no afectará a los puntos de conexión privados creados para un perfil de Front Door diferente.

    Diagrama que muestra que la eliminación del perfil de Azure Front Door no afectará a los puntos de conexión privados de otros perfiles de Front Door.

    Por ejemplo:

    • Si se elimina AFD-Profile-2, solo se quitará PE5.
    • Si se elimina AFD-Profile-3, solo se quitará PE6.
    • Si se elimina AFD-Profile-4, solo se quitará PE7.
    • Si se elimina AFD-Profile-5, solo se quitará PE8.

Disponibilidad regional

El vínculo privado de Azure Front Door está disponible en las siguientes regiones:

América Europa África Asia Pacífico
Sur de Brasil Centro de Francia Norte de Sudáfrica Este de Australia
Centro de Canadá Centro-oeste de Alemania Centro de la India
Centro de EE. UU. Norte de Europa Japón Oriental
Este de EE. UU. Este de Noruega Centro de Corea del Sur
Este de EE. UU. 2 Sur de Reino Unido 2 Este de Asia
Centro-sur de EE. UU. Oeste de Europa
Oeste de EE. UU. 3 Centro de Suecia
US Gov: Arizona
US Gov Texas
US Gov - Virginia

Limitaciones

Actualmente, la compatibilidad con el origen para la conectividad de punto de conexión privado directo está limitada a:

  • Blob Storage
  • Aplicación web
  • Equilibradores de carga internos o cualquier servicio que exponga equilibradores de carga internos, como Azure Kubernetes Service, Azure Container Apps o Red Hat OpenShift en Azure
  • Sitio web estático de almacenamiento
  • Application Gateway (versión preliminar solo en PowerShell y CLI. No debe usarse en entornos de producción.
  • API Management (versión preliminar solo en PowerShell y la CLI). No debe usarse en entornos de producción.
  • Azure Container Apps (versión preliminar solo en PowerShell y la CLI). No debe usarse en entornos de producción.

Nota:

  • Esta característica no se admite con las ranuras ni las funciones de Azure App Service.
  • Las integraciones de Azure Application Gateway, APIM Management y Azure Container Apps no se admiten actualmente mediante Azure Portal.

La característica Private Link de Azure Front Door es independiente de la región, pero para obtener la mejor latencia, siempre es recomendable elegir la región de Azure más cercana al origen al elegir habilitar el punto de conexión de Private Link de Azure Front Door.

Pasos siguientes