Conectar o Azure Front Door Premium a um Gateway de Aplicativo do Azure com o Link Privado (versão prévia)
Este artigo descreve as etapas necessárias para configurar um Azure Front Door Premium para se conectar de modo privado ao Gateway de Aplicativo do Azure usando o Link Privado do Azure.
Pré-requisitos
Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
O Azure PowerShell instalado localmente ou o Azure Cloud Shell.
Observação
Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.
Azure Cloud Shell
O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que pode ser usado por meio do navegador. É possível usar o bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. É possível usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada no seu ambiente local.
Para iniciar o Azure Cloud Shell:
Opção | Exemplo/Link |
---|---|
Selecione Experimentar no canto superior direito de um bloco de código ou de comando. Selecionar Experimentar não copia automaticamente o código nem o comando para o Cloud Shell. | |
Acesse https://shell.azure.com ou selecione o botão Iniciar o Cloud Shell para abri-lo no navegador. | |
Selecione o botão Cloud Shell na barra de menus no canto superior direito do portal do Azure. |
Para usar o Azure Cloud Shell:
Inicie o Cloud Shell.
Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou o comando.
Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e no Linux, ou selecionando Cmd+Shift+V no macOS.
Pressione Enter para executar o código ou comando.
Ter um ponto de extremidade e um perfil do Azure Front Door Premium em funcionamento. Para obter mais informações sobre como criar um perfil do Azure Front Door, confira Criar um Front Door – PowerShell.
Ter um Gateway de Aplicativo do Azure em funcionamento. Para obter mais informações sobre como criar um Gateway de Aplicativo, confira Direcionar o tráfego da Web com o Gateway de Aplicativo do Azure usando o Azure PowerShell
Habilitar a conectividade privada com o Gateway de Aplicativo do Azure
Siga as instruções descritas em Configurar o Link Privado do Gateway de Aplicativo do Azure, mas não conclua a etapa final da criação de um ponto de extremidade privado.
Criar um grupo de origem e adicionar o gateway de aplicativo como uma origem
Use New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject para criar um objeto na memória a fim de armazenar as configurações de investigação de integridade.
$healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject ` -ProbeIntervalInSecond 60 ` -ProbePath "/" ` -ProbeRequestType GET ` -ProbeProtocol Http
Use New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject para criar um objeto na memória a fim de armazenar as configurações de balanceamento de carga.
$loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject ` -AdditionalLatencyInMillisecond 50 ` -SampleSize 4 ` -SuccessfulSamplesRequired 3
Execute New-AzFrontDoorCdnOriginGroup para criar um grupo de origem que contenha o gateway de aplicativo.
$origingroup = New-AzFrontDoorCdnOriginGroup ` -OriginGroupName myOriginGroup ` -ProfileName myFrontDoorProfile ` -ResourceGroupName myResourceGroup ` -HealthProbeSetting $healthProbeSetting ` -LoadBalancingSetting $loadBalancingSetting
Obtenha o nome da configuração de IP de front-end do Gateway de Aplicativo com o comando Get-AzApplicationGatewayFrontendIPConfig.
$AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $AppGw $FrontEndIPs.name
Use o comando New-AzFrontDoorCdnOrigin para adicionar o gateway de aplicativo ao grupo de origem.
New-AzFrontDoorCdnOrigin ` -OriginGroupName myOriginGroup ` -OriginName myAppGatewayOrigin ` -ProfileName myFrontDoorProfile ` -ResourceGroupName myResourceGroup ` -HostName 10.0.0.4 ` -HttpPort 80 ` -HttpsPort 443 ` -OriginHostHeader 10.0.0.4 ` -Priority 1 ` -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` -Weight 1000 `
Observação
SharedPrivateLinkResourceGroupId
é o nome da configuração de IP de front-end do Gateway de Aplicativo do Azure.
Aprovar o ponto de extremidade privado
Execute Get-AzPrivateEndpointConnection para recuperar o nome da conexão do ponto de extremidade privado que precisa de aprovação.
Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
Execute Approve-AzPrivateEndpointConnection para aprovar os detalhes da conexão do ponto de extremidade privado. Use o valor de Name da saída na etapa anterior para aprovar a conexão.
Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
Concluir a instalação do Azure Front Door
Use o comando New-AzFrontDoorCdnRoute para criar uma rota que mapeia o ponto de extremidade para o grupo de origem. Essa rota encaminha solicitações do ponto de extremidade para o seu grupo de origem.
# Create a route to map the endpoint to the origin group
$Route = New-AzFrontDoorCdnRoute `
-EndpointName myFrontDoorEndpoint `
-Name myRoute `
-ProfileName myFrontDoorProfile `
-ResourceGroupName myResourceGroup `
-ForwardingProtocol MatchRequest `
-HttpsRedirect Enabled `
-LinkToDefaultDomain Enabled `
-OriginGroupId $origingroup.Id `
-SupportedProtocol Http,Https
Seu perfil do Azure Front Door já está totalmente funcional após a conclusão da etapa final.
Pré-requisitos
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.
Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.
Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.
Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.
Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Um ponto de extremidade e um perfil do Azure Front Door Premium em funcionamento. Confira Criar um Front Door – CLI.
Um Gateway de Aplicativo do Azure em funcionamento. Confira Direcionar o tráfego da Web com o Gateway de Aplicativo do Azure – CLI do Azure.
Habilitar a conectividade privada com o Gateway de Aplicativo do Azure
Siga as etapas descritas em Configurar o Link Privado do Gateway de Aplicativo do Azure, ignorando a última etapa de criação de um ponto de extremidade privado.
Criar um grupo de origem e adicionar o gateway de aplicativo como uma origem
Execute az afd origin-group create para criar um grupo de origem.
az afd origin-group create \ --resource-group myResourceGroup \ --origin-group-name myOriginGroup \ --profile-name myFrontDoorProfile \ --probe-request-type GET \ --probe-protocol Http \ --probe-interval-in-seconds 60 \ --probe-path / \ --sample-size 4 \ --successful-samples-required 3 \ --additional-latency-in-milliseconds 50
Execute az network application-gaeay frontend-ip list para obter o nome da configuração de IP de front-end do Gateway de Aplicativo.
az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup
Execute az afd origin create para adicionar um gateway de aplicativo como uma origem ao grupo de origem.
az afd origin create \ --enabled-state Enabled \ --resource-group myResourceGroup \ --origin-group-name myOriginGroup \ --origin-name myAppGatewayOrigin \ --profile-name myFrontDoorProfile \ --host-name 10.0.0.4 \ --origin-host-header 10.0.0.4 \ --http-port 80 \ --https-port 443 \ --priority 1 \ --weight 500 \ --enable-private-link true \ --private-link-location centralus \ --private-link-request-message 'Azure Front Door private connectivity request.' \ --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \ --private-link-sub-resource-type myAppGatewayFrontendIPName
Observação
private-link-sub-resource-type
é o nome da configuração de IP de front-end do Gateway de Aplicativo do Azure.
Aprovar a conexão de ponto de extremidade privado
Execute az network private-endpoint-connection list para obter a ID da conexão do ponto de extremidade privado que precisa de aprovação.
az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways
Execute az network private-endpoint-connection approve para aprovar a conexão do ponto de extremidade privado usando a ID da etapa anterior.
az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
Concluir a instalação do Azure Front Door
Execute az afd route create para criar uma rota que mapeia o ponto de extremidade para o grupo de origem. Essa rota encaminha solicitações do ponto de extremidade para o seu grupo de origem.
az afd route create \
--resource-group myResourceGroup \
--profile-name myFrontDoorProfile \
--endpoint-name myFrontDoorEndpoint \
--forwarding-protocol MatchRequest \
--route-name myRoute \
--https-redirect Enabled \
--origin-group myOriginGroup \
--supported-protocols Http Https \
--link-to-default-domain Enabled
Seu perfil do Azure Front Door já está totalmente funcional após a conclusão da etapa final.
Erros comuns a serem evitados
Estes são erros comuns ao configurar uma origem do Gateway de Aplicativo do Azure com o Link Privado do Azure habilitado:
Configurar a origem do Azure Front Door antes de configurar o Link Privado do Azure no Gateway de Aplicativo do Azure.
Adicionar a origem do Gateway de Aplicativo do Azure com o Link Privado do Azure a um grupo de origem existente que contém origens públicas. O Azure Front Door não permite a combinação de origens públicas e privadas no mesmo grupo de origem.
- Fornecer um nome incorreto de configuração de IP de front-end do Gateway de Aplicativo do Azure como o valor para
SharedPrivateLinkResourceGroupId
.
- Fornecer um nome incorreto de configuração de IP de front-end do Gateway de Aplicativo do Azure como o valor para
private-link-sub-resource-type
.
Próximas etapas
Saiba mais sobre o serviço Link Privado com a conta de armazenamento.