Udostępnij za pośrednictwem


Zabezpieczanie źródła za pomocą usługi Private Link w usłudze Azure Front Door Premium

Usługa Azure Private Link umożliwia dostęp do usług i usług PaaS platformy Azure hostowanych na platformie Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Ruch między siecią wirtualną a usługą przechodzi przez sieć szkieletową firmy Microsoft, eliminując narażenie na publiczny Internet.

Usługa Azure Front Door Premium może łączyć się ze swoim źródłem przy użyciu usługi Private Link. Źródło może być hostowane w sieci wirtualnej lub hostowane jako usługa PaaS, taka jak aplikacja internetowa platformy Azure lub usługa Azure Storage. Usługa Private Link usuwa publicznie dostęp do źródła.

Diagram usługi Azure Front Door z włączoną usługą Private Link.

Po włączeniu usługi Private Link do źródła w usłudze Azure Front Door Premium usługa Front Door tworzy prywatny punkt końcowy w Twoim imieniu z zarządzanej regionalnej sieci prywatnej usługi Azure Front Door. Otrzymasz żądanie prywatnego punktu końcowego usługi Azure Front Door na początku oczekujące na zatwierdzenie.

Ważne

Aby ruch mógł zostać przekazany prywatnie do źródła, musisz zatwierdzić połączenie prywatnego punktu końcowego. Połączenia prywatnego punktu końcowego można zatwierdzać przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Aby uzyskać więcej informacji, zobacz Zarządzanie połączeniem prywatnego punktu końcowego.

Po włączeniu źródła dla usługi Private Link i zatwierdzeniu połączenia prywatnego punktu końcowego nawiązanie połączenia może potrwać kilka minut. W tym czasie żądania do źródła odbierają komunikat o błędzie usługi Azure Front Door. Komunikat o błędzie zniknie po nawiązaniu połączenia.

Po zatwierdzeniu żądania prywatny adres IP zostanie przypisany z zarządzanej sieci wirtualnej usługi Azure Front Door. Ruch między usługą Azure Front Door a źródłem komunikuje się przy użyciu ustanowionego łącza prywatnego za pośrednictwem sieci szkieletowej firmy Microsoft. Ruch przychodzący do źródła jest teraz zabezpieczony po przybyciu do usługi Azure Front Door.

Zrzut ekranu przedstawiający pole wyboru Włącz usługę Private Link ze strony konfiguracji źródła.

Skojarzenie prywatnego punktu końcowego z profilem usługi Azure Front Door

Tworzenie prywatnego punktu końcowego

W ramach jednego profilu usługi Azure Front Door, jeśli co najmniej dwa źródła z włączoną obsługą usługi Private Link zostaną utworzone przy użyciu tego samego zestawu usługi Private Link, identyfikatora zasobu i identyfikatora grupy, wówczas dla wszystkich takich źródeł zostanie utworzony tylko jeden prywatny punkt końcowy. Połączenia z zapleczem można włączyć przy użyciu tego prywatnego punktu końcowego. Ta konfiguracja oznacza, że musisz zatwierdzić prywatny punkt końcowy tylko raz, ponieważ zostanie utworzony tylko jeden prywatny punkt końcowy. Jeśli tworzysz więcej źródeł z włączoną usługą Private Link przy użyciu tego samego zestawu lokalizacji usługi Private Link, identyfikatora zasobu i identyfikatora grupy, nie musisz już zatwierdzać prywatnych punktów końcowych.

Pojedynczy prywatny punkt końcowy

Na przykład pojedynczy prywatny punkt końcowy jest tworzony dla wszystkich różnych źródeł w różnych grupach pochodzenia, ale w tym samym profilu usługi Azure Front Door, jak pokazano w poniższej tabeli:

Diagram przedstawiający pojedynczy prywatny punkt końcowy utworzony dla źródeł utworzonych w tym samym profilu usługi Azure Front Door.

Wiele prywatnych punktów końcowych

Nowy prywatny punkt końcowy zostanie utworzony w następującym scenariuszu:

  • Jeśli region, identyfikator zasobu lub identyfikator grupy zmieni się:

    Diagram przedstawiający wiele utworzonych prywatnych punktów końcowych, ponieważ zmiany w regionie i identyfikatorze zasobu źródła.

    Uwaga

    Lokalizacja usługi Private Link i nazwa hosta uległy zmianie, co powoduje utworzenie dodatkowych prywatnych punktów końcowych i wymaga zatwierdzenia dla każdego z nich.

  • Gdy profil usługi Azure Front Door ulegnie zmianie:

    Diagram przedstawiający wiele utworzonych prywatnych punktów końcowych, ponieważ źródło jest skojarzone z wieloma profilami usługi Azure Front Door.

    Uwaga

    Włączenie usługi Private Link dla źródeł w różnych profilach usługi Front Door spowoduje utworzenie dodatkowych prywatnych punktów końcowych i wymaga zatwierdzenia dla każdego z nich.

Usuwanie prywatnego punktu końcowego

Po usunięciu profilu usługi Azure Front Door prywatne punkty końcowe skojarzone z profilem również zostaną usunięte.

Pojedynczy prywatny punkt końcowy

Jeśli profil AFD-Profile-1 zostanie usunięty, prywatny punkt końcowy PE1 we wszystkich źródłach również zostanie usunięty.

Diagram przedstawiający usunięcie profilu AFD-Profile-1, a następnie pe1 we wszystkich źródłach zostanie usunięty.

Wiele prywatnych punktów końcowych

  • Jeśli profil AFD-Profile-1 zostanie usunięty, wszystkie prywatne punkty końcowe z PE1 do PE4 zostaną usunięte.

    Diagram pokazujący, czy profil AFD-Profile-1 zostanie usunięty, wszystkie prywatne punkty końcowe z PE1 do PE4 zostaną usunięte.

  • Usunięcie profilu usługi Azure Front Door nie ma wpływu na prywatne punkty końcowe utworzone dla innego profilu usługi Front Door.

    Diagram przedstawiający usuwanie profilu usługi Azure Front Door, ale nie ma wpływu na prywatne punkty końcowe w innych profilach usługi Front Door.

    Na przykład:

    • Jeśli profil AFD-Profile-2 zostanie usunięty, tylko PE5 zostanie usunięty.
    • Jeśli profil AFD-Profile-3 zostanie usunięty, zostanie usunięty tylko PE6.
    • Jeśli profil AFD-Profile-4 zostanie usunięty, tylko PE7 zostanie usunięty.
    • Jeśli profil AFD-Profile-5 zostanie usunięty, tylko PE8 zostanie usunięty.

Dostępność w regionach

Link prywatny usługi Azure Front Door jest dostępny w następujących regionach:

Ameryka Północna i Południowa Europa Afryka Azja i Pacyfik
Brazylia Południowa Francja Środkowa Północna Republika Południowej Afryki Australia Wschodnia
Kanada Środkowa Niemcy Środkowo-Zachodnie Indie Środkowe
Central US Europa Północna Japonia Wschodnia
Wschodnie stany USA Norwegia Wschodnia Korea Środkowa
Wschodnie stany USA 2 Południowe Zjednoczone Królestwo Azja Wschodnia
South Central US West Europe
Zachodnie stany USA 3 Szwecja Środkowa
US Gov Arizona
US Gov Teksas
US Gov Wirginia

Ograniczenia

Obsługa źródła dla bezpośredniej łączności prywatnego punktu końcowego jest obecnie ograniczona do:

  • Blob Storage
  • Aplikacja internetowa
  • Wewnętrzne moduły równoważenia obciążenia lub wszystkie usługi, które uwidaczniają wewnętrzne moduły równoważenia obciążenia, takie jak Azure Kubernetes Service, Azure Container Apps lub Azure Red Hat OpenShift
  • Statyczna witryna internetowa magazynu
  • Application Gateway (wersja zapoznawcza tylko w programie PowerShell i interfejsie wiersza polecenia. Nie używaj w środowiskach produkcyjnych)
  • API Management (wersja zapoznawcza tylko w programie PowerShell i interfejsie wiersza polecenia. Nie używaj w środowiskach produkcyjnych)
  • Azure Container Apps (wersja zapoznawcza tylko w programie PowerShell i interfejsie wiersza polecenia. Nie używaj w środowiskach produkcyjnych)

Uwaga

  • Ta funkcja nie jest obsługiwana w przypadku funkcji aplikacja systemu Azure Service Slots lub Functions.
  • integracja usługi aplikacja systemu Azure Gateway, APIM Management i Azure Container Apps nie jest obecnie obsługiwana w witrynie Azure Portal.

Funkcja usługi Azure Front Door Private Link jest niezależna od regionu, ale w celu uzyskania najlepszego opóźnienia należy zawsze wybrać region świadczenia usługi Azure najbliżej źródła, wybierając opcję włączenia punktu końcowego usługi Azure Front Door Private Link.

Następne kroki