Conectar o Azure Front Door Premium com um site estático de armazenamento usando o Link Privado
Este artigo orienta você sobre como configurar a camada Premium do Azure Front Door para se conectar com a origem do site estático de armazenamento de modo privado usando o serviço Link Privado do Azure.
Pré-requisitos
- Uma conta do Azure com uma assinatura ativa. Você pode criar uma conta gratuitamente.
- Crie um serviço Link Privado para o servidor Web de origem.
- O site estático de armazenamento está habilitado na sua conta de armazenamento. Saiba como habilitar o site estático.
Habilitar o Link Privado em um site estático de armazenamento
Nesta seção, você mapeia o serviço de Link Privado para um ponto de extremidade privado criado na rede privada do Azure Front Door.
Entre no portal do Azure.
No perfil Azure Front Door Premium, em Configurações, selecione Grupos de origem.
Selecione o grupo de origem que contém a origem do site estático de armazenamento para a qual você deseja habilitar o Link Privado.
Selecione + Adicionar uma origem para adicionar uma nova origem de site estático de armazenamento ou selecione uma origem de site estático de armazenamento já criada na lista.
A tabela a seguir possui informações sobre quais valores selecionar nos respectivos campos ao habilitar o link privado com o Azure Front Door. Selecione ou insira as configurações a seguir para configurar o site estático de armazenamento que você deseja que o Azure Front Door Premium se conecte de modo privado.
Configuração Valor Nome Insira um nome para identificar essa origem do site estático de armazenamento. Tipo de origem Armazenamento (Site estático) Nome do host Selecione o host no menu suspenso que você deseja obter como origem. Cabeçalho de host de origem Você pode personalizar o cabeçalho de host da origem ou deixá-lo como padrão. Porta HTTP 80 (padrão) Porta HTTPS 443 (padrão) Prioridade Origens diferentes podem ter prioridades diferentes para fornecer as origens primária, secundária e de backup. Peso 1.000 (padrão). Atribua ponderações à origem diferente quando você quiser distribuir o tráfego. Região Selecione a mesma região ou a mais próxima à sua origem. Sub-recurso de destino O tipo de sub-recurso para o recurso selecionado anteriormente que pode ser acessado pelo seu ponto de extremidade privado. Você pode selecionar web ou web_secondary. Mensagem de solicitação Mensagem personalizada para ver ao aprovar o Ponto de extremidade privado. Depois, selecione Adicionar para salvar a configuração. Em seguida, escolha Atualizar para salvar suas alterações.
Aprovar a conexão de ponto de extremidade privado da conta de armazenamento
Acesse a conta de armazenamento que você deseja conectar ao Azure Front Door Premium de forma privada. Selecione Rede em Configurações.
Em Rede, selecione Conexões de ponto de extremidade privado.
Selecione a solicitação de ponto de extremidade privada pendente do Azure Front Door Premium e, em seguida, selecione Aprovar.
Depois de aprovado, você pode ver que o status da conexão do ponto de extremidade privado está Aprovado.
Criar conexão de ponto de extremidade privado para web_secondary
Ao criar uma conexão de ponto de extremidade privado para o sub-recurso secundário do site estático de armazenamento, você precisa adicionar um sufixo -secondary ao cabeçalho de host da origem. Por exemplo, se o cabeçalho de host da origem for contoso.z13.web.core.windows.net, você precisará alterá-lo para contoso-secondary.z13.web.core.windows.net.
Depois que a origem for adicionada e a conexão de ponto de extremidade privada for aprovada, você poderá testar sua conexão de link privado com seu site estático de armazenamento.
Este artigo orientará você sobre como configurar a camada Premium do Azure Front Door para conectar a Conta de Armazenamento em modo privado usando o serviço de Link Privado do Azure com a CLI do Azure.
Pré-requisitos – CLI
Pré-requisitos
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.
Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.
Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.
Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.
- Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
- Tenha um perfil do Azure Front Door Premium funcionando, um ponto de extremidade e um grupo de origem. Para obter mais informações sobre como criar um perfil do Azure Front Door, consulte Criar um Front Door – CLI.
Habilitar o Link Privado para um Site Estático de Armazenamento no Azure Front Door Premium
- Execute az afd origin create para criar uma nova origem do Azure Front Door. Insira as seguintes configurações para configurar o Site Estático de Armazenamento com o qual você deseja que o Azure Front Door Premium se conecte de modo privado. Observe que
private-link-locationdeve estar em uma das regiões disponíveis eprivate-link-sub-resource-typedeve ser Web.
az afd origin create --enabled-state Enabled \
--resource-group testRG \
--origin-group-name default-origin-group \
--origin-name pvtStaticSite \
--profile-name testAFD \
--host-name example.z13.web.core.windows.net\
--origin-host-header example.z13.web.core.windows.net\
--http-port 80 \
--https-port 443 \
--priority 1 \
--weight 500 \
--enable-private-link true \
--private-link-location EastUS \
--private-link-request-message 'AFD Storage static website origin Private Link request.' \
--private-link-resource /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/testRG/providers/Microsoft.Storage/storageAccounts/testingafdpl \
--private-link-sub-resource-type web
Aprovar a conexão de ponto de extremidade privado da conta de armazenamento
- Execute az network private-endpoint-connection list para listar as conexões de ponto de extremidade privado para a conta de armazenamento. Anote a "ID do recurso" da conexão de ponto de extremidade privado disponível em sua conta de armazenamento, na primeira linha de sua saída.
az network private-endpoint-connection list -g testRG -n testingafdpl --type Microsoft.Storage/storageAccounts
- Execute az network private-endpoint-connection approve para aprovar a conexão de ponto de extremidade privado.
az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/testRG/providers/Microsoft.Storage/storageAccounts/testingafdpl/privateEndpointConnections/testingafdpl.00000000-0000-0000-0000-000000000000
Criar conexão de ponto de extremidade privado para Web_Secondary
Ao criar uma conexão de ponto de extremidade privado com o sub-recurso secundário do site estático de armazenamento, você precisa adicionar um sufixo -secondary ao cabeçalho do host de origem. Por exemplo, se o cabeçalho do host de origem for example.z13.web.core.windows.net, você precisará alterá-lo para example-secondary.z13.web.core.windows.net.
Depois que a origem for adicionada e a conexão de ponto de extremidade privada for aprovada, você poderá testar sua conexão de link privado com seu site estático de armazenamento.
Próximas etapas
Saiba mais sobre o serviço Link Privado com a conta de armazenamento.