Łączenie usługi Azure Front Door Premium z bramą aplikacja systemu Azure Przy użyciu usługi Private Link (wersja zapoznawcza)

W tym artykule przedstawiono procedurę konfigurowania usługi Azure Front Door Premium w celu nawiązania prywatnego połączenia z usługą aplikacja systemu Azure Gateway przy użyciu usługi Azure Private Link.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

• Program Azure PowerShell został zainstalowany lokalnie lub w usłudze Azure Cloud Shell.

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Azure Cloud Shell

Na platforma Azure hostowane jest Azure Cloud Shell, interaktywne środowisko powłoki, z którego można korzystać w przeglądarce. Do pracy z usługami platformy Azure można używać programu Bash lub PowerShell w środowisku Cloud Shell. Aby uruchomić kod w tym artykule, możesz użyć wstępnie zainstalowanych poleceń usługi Cloud Shell bez konieczności instalowania niczego w środowisku lokalnym.

Aby uruchomić środowisko Azure Cloud Shell:

Opcja	Przykład/link
Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu lub polecenia. Wybranie pozycji Wypróbuj nie powoduje automatycznego skopiowania kodu lub polecenia do usługi Cloud Shell.
Przejdź do witryny https://shell.azure.com lub wybierz przycisk Uruchom Cloud Shell, aby otworzyć środowisko Cloud Shell w przeglądarce.
Wybierz przycisk Cloud Shell na pasku menu w prawym górnym rogu witryny Azure Portal.

Aby użyć usługi Azure Cloud Shell:

1. Uruchom usługę Cloud Shell.

2. Wybierz przycisk Kopiuj w bloku kodu (lub bloku poleceń), aby skopiować kod lub polecenie.

3. Wklej kod lub polecenie do sesji usługi Cloud Shell, wybierając Ctrl+Shift V w systemach Windows i Linux lub wybierając pozycję Cmd+Shift++V w systemie macOS.

4. Wybierz Enter, aby uruchomić kod lub polecenie.

• Posiadanie działającego profilu usługi Azure Front Door Premium i punktu końcowego. Aby uzyskać więcej informacji na temat tworzenia profilu usługi Azure Front Door, zobacz Tworzenie usługi Front Door — PowerShell.

• Ma działającą bramę aplikacja systemu Azure. Aby uzyskać więcej informacji na temat tworzenia usługi Application Gateway, zobacz Direct web traffic with aplikacja systemu Azure Gateway using Azure PowerShell (Bezpośredni ruch internetowy za pomocą usługi aplikacja systemu Azure Gateway przy użyciu programu Azure PowerShell)

Włączanie łączności prywatnej z usługą aplikacja systemu Azure Gateway

Postępuj zgodnie z instrukcjami w artykule Konfigurowanie usługi Private Link bramy aplikacja systemu Azure, ale nie należy wykonywać ostatniego kroku tworzenia prywatnego punktu końcowego.

Tworzenie grupy pochodzenia i dodawanie bramy aplikacji jako źródła

1. Użyj polecenia New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject , aby utworzyć obiekt w pamięci do przechowywania ustawień sondy kondycji.

   $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
       -ProbeIntervalInSecond 60 `
       -ProbePath "/" `
       -ProbeRequestType GET `
       -ProbeProtocol Http
   

2. Użyj polecenia New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject , aby utworzyć obiekt w pamięci do przechowywania ustawień równoważenia obciążenia.

   $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
       -AdditionalLatencyInMillisecond 50 `
       -SampleSize 4 `
       -SuccessfulSamplesRequired 3
   

3. Uruchom polecenie New-AzFrontDoorCdnOriginGroup , aby utworzyć grupę pochodzenia zawierającą bramę aplikacji.

   $origingroup = New-AzFrontDoorCdnOriginGroup `
       -OriginGroupName myOriginGroup `
       -ProfileName myFrontDoorProfile `
       -ResourceGroupName myResourceGroup `
       -HealthProbeSetting $healthProbeSetting `
       -LoadBalancingSetting $loadBalancingSetting
   

4. Pobierz nazwę konfiguracji adresu IP frontonu usługi Application Gateway za pomocą polecenia Get-AzApplicationGatewayFrontendIPConfig .

   $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
   $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
   $FrontEndIPs.name
   

5. Użyj polecenia New-AzFrontDoorCdnOrigin, aby dodać bramę aplikacji do grupy źródeł.

   New-AzFrontDoorCdnOrigin ` 
       -OriginGroupName myOriginGroup ` 
       -OriginName myAppGatewayOrigin ` 
       -ProfileName myFrontDoorProfile ` 
       -ResourceGroupName myResourceGroup ` 
       -HostName 10.0.0.4 ` 
       -HttpPort 80 ` 
       -HttpsPort 443 ` 
       -OriginHostHeader 10.0.0.4 ` 
       -Priority 1 ` 
       -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
       -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
       -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
       -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
       -Weight 1000 `
   

   Uwaga

   SharedPrivateLinkResourceGroupIdto nazwa konfiguracji adresu IP frontonu bramy aplikacja systemu Azure.

Zatwierdzanie prywatnego punktu końcowego

1. Uruchom polecenie Get-AzPrivateEndpointConnection , aby pobrać nazwę połączenia prywatnego punktu końcowego, które wymaga zatwierdzenia.

   Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

2. Uruchom polecenie Approve-AzPrivateEndpointConnection , aby zatwierdzić szczegóły połączenia prywatnego punktu końcowego. Użyj wartości Nazwa z danych wyjściowych w poprzednim kroku, aby zatwierdzić połączenie.

   Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

Ukończ konfigurowanie usługi Azure Front Door

Użyj polecenia New-AzFrontDoorCdnRoute, aby utworzyć trasę, która mapuje punkt końcowy na grupę pochodzenia. Ta trasa przekazuje żądania z punktu końcowego do grupy pochodzenia.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Profil usługi Azure Front Door jest teraz w pełni funkcjonalny po zakończeniu ostatniego kroku.

Wymagania wstępne

• Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.

  

• Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.

  • Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.

  • Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.

  • Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

• Działający profil i punkt końcowy usługi Azure Front Door Premium. Zobacz Tworzenie usługi Front Door — interfejs wiersza polecenia.

• Działająca brama aplikacja systemu Azure. Zobacz Bezpośredni ruch internetowy za pomocą usługi aplikacja systemu Azure Gateway — interfejs wiersza polecenia platformy Azure.

Włączanie łączności prywatnej z usługą aplikacja systemu Azure Gateway

Wykonaj kroki opisane w artykule Konfigurowanie usługi Private Link bramy aplikacja systemu Azure, pomijając ostatni krok tworzenia prywatnego punktu końcowego.

Tworzenie grupy pochodzenia i dodawanie bramy aplikacji jako źródła

1. Uruchom polecenie az afd origin-group create , aby utworzyć grupę pochodzenia.

   az afd origin-group create \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --profile-name myFrontDoorProfile \
       --probe-request-type GET \
       --probe-protocol Http \
       --probe-interval-in-seconds 60 \
       --probe-path / \
       --sample-size 4 \
       --successful-samples-required 3 \
       --additional-latency-in-milliseconds 50
   

2. Uruchom polecenie az network application-gaeay frontend-ip list , aby uzyskać nazwę konfiguracji adresu IP frontonu usługi Application Gateway.

   az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup
   

3. Uruchom polecenie az afd origin create , aby dodać bramę aplikacji jako źródło do grupy pochodzenia.

   az afd origin create \
       --enabled-state Enabled \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --origin-name myAppGatewayOrigin \
       --profile-name myFrontDoorProfile \
       --host-name 10.0.0.4 \
       --origin-host-header 10.0.0.4 \
       --http-port 80  \
       --https-port 443 \
       --priority 1 \
       --weight 500 \
       --enable-private-link true \
       --private-link-location centralus \
       --private-link-request-message 'Azure Front Door private connectivity request.' \
       --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
       --private-link-sub-resource-type myAppGatewayFrontendIPName
   

   Uwaga

   private-link-sub-resource-typeto nazwa konfiguracji adresu IP frontonu bramy aplikacja systemu Azure.

Zatwierdzanie połączenia prywatnego punktu końcowego

1. Uruchom polecenie az network private-endpoint-connection list , aby uzyskać identyfikator połączenia prywatnego punktu końcowego, które wymaga zatwierdzenia.

   az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways
   

2. Uruchom polecenie az network private-endpoint-connection zatwierdź, aby zatwierdzić połączenie prywatnego punktu końcowego przy użyciu identyfikatora z poprzedniego kroku.

   az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
   

Ukończ konfigurowanie usługi Azure Front Door

Uruchom polecenie az afd route create , aby utworzyć trasę, która mapuje punkt końcowy na grupę pochodzenia. Ta trasa przekazuje żądania z punktu końcowego do grupy pochodzenia.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

Profil usługi Azure Front Door jest teraz w pełni funkcjonalny po zakończeniu ostatniego kroku.

Typowe błędy, których należy unikać

Poniżej przedstawiono typowe błędy podczas konfigurowania źródła bramy aplikacja systemu Azure z włączoną usługą Azure Private Link:

1. Konfigurowanie źródła usługi Azure Front Door przed skonfigurowaniem usługi Azure Private Link w usłudze aplikacja systemu Azure Gateway.

2. Dodanie źródła bramy aplikacja systemu Azure za pomocą usługi Azure Private Link do istniejącej grupy pochodzenia zawierającej źródła publiczne. Usługa Azure Front Door nie zezwala na mieszanie źródeł publicznych i prywatnych w tej samej grupie źródeł.

3. Podaj niepoprawną nazwę konfiguracji adresu IP frontonu bramy aplikacja systemu Azure jako wartość .SharedPrivateLinkResourceGroupId

3. Podaj niepoprawną nazwę konfiguracji adresu IP frontonu bramy aplikacja systemu Azure jako wartość .private-link-sub-resource-type

Następne kroki

Dowiedz się więcej o usłudze Private Link przy użyciu konta magazynu.