Compartilhar via


Conectar o Azure Front Door Premium a um Gateway de Aplicativo do Azure com o Link Privado (versão prévia)

Este artigo descreve as etapas necessárias para configurar um Azure Front Door Premium para se conectar de modo privado ao Gateway de Aplicativo do Azure usando o Link Privado do Azure.

Pré-requisitos

  • Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

  • O Azure PowerShell instalado localmente ou o Azure Cloud Shell.

Observação

Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Azure Cloud Shell

O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que pode ser usado por meio do navegador. É possível usar o bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. É possível usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada no seu ambiente local.

Para iniciar o Azure Cloud Shell:

Opção Exemplo/Link
Selecione Experimentar no canto superior direito de um bloco de código ou de comando. Selecionar Experimentar não copia automaticamente o código nem o comando para o Cloud Shell. Captura de tela que mostra um exemplo de Experimente para o Azure Cloud Shell.
Acesse https://shell.azure.com ou selecione o botão Iniciar o Cloud Shell para abri-lo no navegador. Botão para iniciar o Azure Cloud Shell.
Selecione o botão Cloud Shell na barra de menus no canto superior direito do portal do Azure. Captura de tela que mostra o botão Cloud Shell no portal do Azure

Para usar o Azure Cloud Shell:

  1. Inicie o Cloud Shell.

  2. Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou o comando.

  3. Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e no Linux, ou selecionando Cmd+Shift+V no macOS.

  4. Pressione Enter para executar o código ou comando.

Habilitar a conectividade privada com o Gateway de Aplicativo do Azure

Siga as instruções descritas em Configurar o Link Privado do Gateway de Aplicativo do Azure, mas não conclua a etapa final da criação de um ponto de extremidade privado.

Criar um grupo de origem e adicionar o gateway de aplicativo como uma origem

  1. Use New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject para criar um objeto na memória a fim de armazenar as configurações de investigação de integridade.

    $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
        -ProbeIntervalInSecond 60 `
        -ProbePath "/" `
        -ProbeRequestType GET `
        -ProbeProtocol Http
    
  2. Use New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject para criar um objeto na memória a fim de armazenar as configurações de balanceamento de carga.

    $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
        -AdditionalLatencyInMillisecond 50 `
        -SampleSize 4 `
        -SuccessfulSamplesRequired 3
    
  3. Execute New-AzFrontDoorCdnOriginGroup para criar um grupo de origem que contenha o gateway de aplicativo.

    $origingroup = New-AzFrontDoorCdnOriginGroup `
        -OriginGroupName myOriginGroup `
        -ProfileName myFrontDoorProfile `
        -ResourceGroupName myResourceGroup `
        -HealthProbeSetting $healthProbeSetting `
        -LoadBalancingSetting $loadBalancingSetting
    
  4. Obtenha o nome da configuração de IP de front-end do Gateway de Aplicativo com o comando Get-AzApplicationGatewayFrontendIPConfig.

    $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
    $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
    $FrontEndIPs.name
    
  5. Use o comando New-AzFrontDoorCdnOrigin para adicionar o gateway de aplicativo ao grupo de origem.

    New-AzFrontDoorCdnOrigin ` 
        -OriginGroupName myOriginGroup ` 
        -OriginName myAppGatewayOrigin ` 
        -ProfileName myFrontDoorProfile ` 
        -ResourceGroupName myResourceGroup ` 
        -HostName 10.0.0.4 ` 
        -HttpPort 80 ` 
        -HttpsPort 443 ` 
        -OriginHostHeader 10.0.0.4 ` 
        -Priority 1 ` 
        -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
        -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
        -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
        -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
        -Weight 1000 `
    

    Observação

    SharedPrivateLinkResourceGroupId é o nome da configuração de IP de front-end do Gateway de Aplicativo do Azure.

Aprovar o ponto de extremidade privado

  1. Execute Get-AzPrivateEndpointConnection para recuperar o nome da conexão do ponto de extremidade privado que precisa de aprovação.

    Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
    
  2. Execute Approve-AzPrivateEndpointConnection para aprovar os detalhes da conexão do ponto de extremidade privado. Use o valor de Name da saída na etapa anterior para aprovar a conexão.

    Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
    

Concluir a instalação do Azure Front Door

Use o comando New-AzFrontDoorCdnRoute para criar uma rota que mapeia o ponto de extremidade para o grupo de origem. Essa rota encaminha solicitações do ponto de extremidade para o seu grupo de origem.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Seu perfil do Azure Front Door já está totalmente funcional após a conclusão da etapa final.

Pré-requisitos

Habilitar a conectividade privada com o Gateway de Aplicativo do Azure

Siga as etapas descritas em Configurar o Link Privado do Gateway de Aplicativo do Azure, ignorando a última etapa de criação de um ponto de extremidade privado.

Criar um grupo de origem e adicionar o gateway de aplicativo como uma origem

  1. Execute az afd origin-group create para criar um grupo de origem.

    az afd origin-group create \
        --resource-group myResourceGroup \
        --origin-group-name myOriginGroup \
        --profile-name myFrontDoorProfile \
        --probe-request-type GET \
        --probe-protocol Http \
        --probe-interval-in-seconds 60 \
        --probe-path / \
        --sample-size 4 \
        --successful-samples-required 3 \
        --additional-latency-in-milliseconds 50
    
  2. Execute az network application-gaeay frontend-ip list para obter o nome da configuração de IP de front-end do Gateway de Aplicativo.

    az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup
    
  3. Execute az afd origin create para adicionar um gateway de aplicativo como uma origem ao grupo de origem.

    az afd origin create \
        --enabled-state Enabled \
        --resource-group myResourceGroup \
        --origin-group-name myOriginGroup \
        --origin-name myAppGatewayOrigin \
        --profile-name myFrontDoorProfile \
        --host-name 10.0.0.4 \
        --origin-host-header 10.0.0.4 \
        --http-port 80  \
        --https-port 443 \
        --priority 1 \
        --weight 500 \
        --enable-private-link true \
        --private-link-location centralus \
        --private-link-request-message 'Azure Front Door private connectivity request.' \
        --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
        --private-link-sub-resource-type myAppGatewayFrontendIPName
    

    Observação

    private-link-sub-resource-type é o nome da configuração de IP de front-end do Gateway de Aplicativo do Azure.

Aprovar a conexão de ponto de extremidade privado

  1. Execute az network private-endpoint-connection list para obter a ID da conexão do ponto de extremidade privado que precisa de aprovação.

    az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways
    
  2. Execute az network private-endpoint-connection approve para aprovar a conexão do ponto de extremidade privado usando a ID da etapa anterior.

    az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
    

Concluir a instalação do Azure Front Door

Execute az afd route create para criar uma rota que mapeia o ponto de extremidade para o grupo de origem. Essa rota encaminha solicitações do ponto de extremidade para o seu grupo de origem.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

Seu perfil do Azure Front Door já está totalmente funcional após a conclusão da etapa final.

Erros comuns a serem evitados

Estes são erros comuns ao configurar uma origem do Gateway de Aplicativo do Azure com o Link Privado do Azure habilitado:

  1. Configurar a origem do Azure Front Door antes de configurar o Link Privado do Azure no Gateway de Aplicativo do Azure.

  2. Adicionar a origem do Gateway de Aplicativo do Azure com o Link Privado do Azure a um grupo de origem existente que contém origens públicas. O Azure Front Door não permite a combinação de origens públicas e privadas no mesmo grupo de origem.

  1. Fornecer um nome incorreto de configuração de IP de front-end do Gateway de Aplicativo do Azure como o valor para SharedPrivateLinkResourceGroupId.
  1. Fornecer um nome incorreto de configuração de IP de front-end do Gateway de Aplicativo do Azure como o valor para private-link-sub-resource-type.

Próximas etapas

Saiba mais sobre o serviço Link Privado com a conta de armazenamento.