Azure Front Door Premium verbinden met een Azure-toepassing Gateway met Private Link (preview)

In dit artikel wordt u begeleid bij de stappen voor het configureren van een Azure Front Door Premium om privé verbinding te maken met uw Azure-toepassing Gateway met behulp van Azure Private Link.

Vereisten

• Een Azure-account met een actief abonnement. Gratis een account maken

• Azure PowerShell is lokaal geïnstalleerd of Azure Cloud Shell.

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Azure Cloud Shell

Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.

Om Azure Cloud Shell op te starten:

Optie	Voorbeeld/koppeling
Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell.
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen.
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal.

Azure Cloud Shell gebruiken:

1. Start Cloud Shell.

2. Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.

3. Plak de code of opdracht in de Cloud Shell-sessie door Ctrl+Shift+V in Windows en Linux te selecteren of door Cmd+Shift+V te selecteren in macOS.

4. Selecteer Enter om de code of opdracht uit te voeren.

• Een werkend Azure Front Door Premium-profiel en een eindpunt hebben. Zie Een Front Door - PowerShell maken voor meer informatie over het maken van een Azure Front Door-profiel.

• Een werkende Azure-toepassing-gateway hebben. Zie Webverkeer omleiden met Azure-toepassing Gateway met behulp van Azure PowerShell voor meer informatie over het maken van een toepassingsgateway

Privéconnectiviteit inschakelen voor Azure-toepassing Gateway

Volg de instructies in Configure Azure-toepassing Gateway Private Link, maar voltooi niet de laatste stap voor het maken van een privé-eindpunt.

Een origin-groep maken en de toepassingsgateway toevoegen als oorsprong

1. Gebruik New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject om een in-memory object te maken voor het opslaan van de statustestinstellingen.

   $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
       -ProbeIntervalInSecond 60 `
       -ProbePath "/" `
       -ProbeRequestType GET `
       -ProbeProtocol Http
   

2. Gebruik New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject om een in-memory object te maken voor het opslaan van taakverdelingsinstellingen.

   $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
       -AdditionalLatencyInMillisecond 50 `
       -SampleSize 4 `
       -SuccessfulSamplesRequired 3
   

3. Voer New-AzFrontDoorCdnOriginGroup uit om een origin-groep te maken die uw toepassingsgateway bevat.

   $origingroup = New-AzFrontDoorCdnOriginGroup `
       -OriginGroupName myOriginGroup `
       -ProfileName myFrontDoorProfile `
       -ResourceGroupName myResourceGroup `
       -HealthProbeSetting $healthProbeSetting `
       -LoadBalancingSetting $loadBalancingSetting
   

4. Haal de front-end-IP-configuratienaam van de Toepassingsgateway op met de opdracht Get-AzApplicationGatewayFrontendIPConfig .

   $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
   $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
   $FrontEndIPs.name
   

5. Gebruik de opdracht New-AzFrontDoorCdnOrigin om uw toepassingsgateway toe te voegen aan de oorspronkelijke groep.

   New-AzFrontDoorCdnOrigin ` 
       -OriginGroupName myOriginGroup ` 
       -OriginName myAppGatewayOrigin ` 
       -ProfileName myFrontDoorProfile ` 
       -ResourceGroupName myResourceGroup ` 
       -HostName 10.0.0.4 ` 
       -HttpPort 80 ` 
       -HttpsPort 443 ` 
       -OriginHostHeader 10.0.0.4 ` 
       -Priority 1 ` 
       -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
       -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
       -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
       -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
       -Weight 1000 `
   

   Notitie

   SharedPrivateLinkResourceGroupIdis de naam van de front-end-IP-configuratie van de Azure-toepassing-gateway.

Het privé-eindpunt goedkeuren

1. Voer Get-AzPrivateEndpointConnection uit om de verbindingsnaam op te halen van de privé-eindpuntverbinding waarvoor goedkeuring is vereist.

   Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

2. Voer Approve-AzPrivateEndpointConnection uit om de verbindingsgegevens van het privé-eindpunt goed te keuren. Gebruik de waarde Naam uit de uitvoer in de vorige stap om de verbinding goed te keuren.

   Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

Azure Front Door instellen voltooien

Gebruik de opdracht New-AzFrontDoorCdnRoute om een route te maken waarmee uw eindpunt wordt toegewezen aan de oorspronkelijke groep. Met deze route worden aanvragen van het eindpunt doorgestuurd naar uw oorspronkelijke groep.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Uw Azure Front Door-profiel is nu volledig functioneel nadat u de laatste stap hebt voltooid.

Vereisten

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.

  

• Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

• Een Azure-account met een actief abonnement. Gratis een account maken

• Een functionerend Azure Front Door Premium-profiel en -eindpunt. Zie Een Front Door maken - CLI.

• Een werkende Azure-toepassing Gateway. Zie Webverkeer omleiden met Azure-toepassing Gateway - Azure CLI.

Privéconnectiviteit inschakelen voor Azure-toepassing Gateway

Volg de stappen in Private Link configureren Azure-toepassing Gateway, waarbij u de laatste stap van het maken van een privé-eindpunt overslaat.

Een origin-groep maken en de toepassingsgateway toevoegen als oorsprong

1. Voer az afd origin-group create uit om een origin-groep te maken.

   az afd origin-group create \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --profile-name myFrontDoorProfile \
       --probe-request-type GET \
       --probe-protocol Http \
       --probe-interval-in-seconds 60 \
       --probe-path / \
       --sample-size 4 \
       --successful-samples-required 3 \
       --additional-latency-in-milliseconds 50
   

2. Voer az network application-gateway frontend-ip list uit om de front-end-IP-configuratienaam van de Application Gateway op te halen.

   az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup
   

3. Voer az afd origin create uit om een toepassingsgateway toe te voegen als een origin aan de origin-groep.

   az afd origin create \
       --enabled-state Enabled \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --origin-name myAppGatewayOrigin \
       --profile-name myFrontDoorProfile \
       --host-name 10.0.0.4 \
       --origin-host-header 10.0.0.4 \
       --http-port 80  \
       --https-port 443 \
       --priority 1 \
       --weight 500 \
       --enable-private-link true \
       --private-link-location centralus \
       --private-link-request-message 'Azure Front Door private connectivity request.' \
       --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
       --private-link-sub-resource-type myAppGatewayFrontendIPName
   

   Notitie

   private-link-sub-resource-typeis de naam van de front-end-IP-configuratie van de Azure-toepassing-gateway.

De privé-eindpuntverbinding goedkeuren

1. Voer az network private-endpoint-connection list uit om de id op te halen van de privé-eindpuntverbinding waarvoor goedkeuring is vereist.

   az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways
   

2. Voer az network private-endpoint-connection goed om de privé-eindpuntverbinding goed te keuren met behulp van de id uit de vorige stap.

   az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
   

Azure Front Door instellen voltooien

Voer az afd route create uit om een route te maken waarmee uw eindpunt wordt toegewezen aan de oorspronkelijke groep. Met deze route worden aanvragen van het eindpunt doorgestuurd naar uw oorspronkelijke groep.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

Uw Azure Front Door-profiel is nu volledig functioneel nadat u de laatste stap hebt voltooid.

Veelvoorkomende fouten om te voorkomen

Hier volgen veelvoorkomende fouten bij het configureren van een Azure-toepassing Gateway-oorsprong waarvoor Azure Private Link is ingeschakeld:

1. Azure Front Door-oorsprong configureren voordat u Azure Private Link configureert op de Azure-toepassing Gateway.

2. Voeg de Azure-toepassing Gateway-oorsprong met Azure Private Link toe aan een bestaande origin-groep die openbare origins bevat. Azure Front Door staat het combineren van openbare en privé-origins in dezelfde oorspronkelijke groep niet toe.

3. Het opgeven van een onjuiste Azure-toepassing gateway front-end IP-configuratienaam als de waarde voor SharedPrivateLinkResourceGroupId.

3. Het opgeven van een onjuiste Azure-toepassing gateway front-end IP-configuratienaam als de waarde voor private-link-sub-resource-type.

Volgende stappen

Meer informatie over de Private Link-service met een opslagaccount.